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“清华 大 学 计算 机 系列 教材 "已 经 出 版 发 行 了 30 余 种 ,包括 计算 机 科学 与 技术 专业 的 基 
础 数学 .专业 技术 基础 和 专业 等 课程 的 教材 ,覆盖 了 计算 机 科学 与 技术 专业 本 科 生 和 研究 生 
的 主要 教学 内 容 。 这 是 一 批 至 今 发 行 数量 很 大 并 赢得 广大 读者 赞誉 的 书籍 ,是 近年 来 出 版 
的 大 学 计算 机 专业 教材 中 影响 比较 大 的 一 批 精品 。 

本 系列 教材 的 作者 都 是 我 熟悉 的 教授 与 同事 ,他 们 长 期 在 第 一 线 担任 相关 课程 的 教学 
工作 ,是 一 批 很 受 本 科 生 和 研究 生 欢迎 的 任课 教师 。 编 写 高 质量 的 计算 机 专业 本 科 生 (和 研 
究 生 ) 教 材 ,不 仅 需要 作者 具备 丰富 的 教学 经 验 和 科研 实践 ,还 需要 对 相关 领域 科技 发 展 前 
沿 的 准确 把 握 和 了 解 。 正 因为 本 系列 教材 的 作者 们 具备 了 这 些 条 件 , 才 有 了 这 批 高 质量 优 
秀 教 材 的 产生 。 可 以 说 ,教材 是 他 们 长 期 辛勤 工作 的 结晶 。 本 系列 教材 出 版 发 行 以 来 ,从 其 
发 行 的 数量 、 读 者 的 反映 ,已 经 获得 的 国家 级 与 省 部 级 的 奖励 ,以 及 在 各 个 高 等 院 校 教 学 中 
所 发 挥 的 作用 上 ,都 可 以 看 出 它 的 社会 影响 与 效益 。 

计算 机 学 科 发 展 异常 迅速 ,内 容 更 新 很 快 。 作 为 教材 ,一 方面 要 反映 本 领域 基础 性 、 普 
遍 性 的 知识 ,保持 内 容 的 相对 稳定 性 ; 另 一 方面 ,又 需要 紧 跟 科 技 的 发 展 ,及 时 地 调整 和 更 新 
内 容 。 本 系列 教材 都 能 按照 自身 的 需要 及 时 地 做 到 这 一 点 。 如 王 爱 英 教授 等 编著 的 《计算 
机 组 成 与 结构 》、 戴 梅 莹 教授 等 编著 的 (微型 计算 机 技术 及 应 用 ) 都 已 经 出 版 了 第 四 版 , 严 蔚 
敏 教授 的 (数据 结构 ) 也 出 版 了 三 版 ,使 教材 既 保 持 了 稳定 性 ,又 达到 了 先进 性 的 要 求 。 

本 系列 教材 内 容 丰 富 , 体 系 结构 严 并 ,概念 清晰 ,易学 易 懂 , 符 合 学 生 的 认 知 规律 ,适合 
教学 与 自学 , 深 受 广 大 读者 的 欢迎 。 系 列 教材 中 多 数 配 有 丰富 的 习题 集 、 习 题解 答 、 上 机 及 
实验 指导 和 电子 教案 ,便于 学 生理 论 联 系 实际 地 学 习 相 关 课 程 。 

随 着 我 国 进一步 的 开放 ,我 们 需要 扩大 国际 交流 ,加 强 学 习 国 外 的 先进 经 验 。 在 大 学 教 
材 建设 上 ,我 们 也 应 该 注意 学 习 和 引进 国外 的 先进 教材 。 但 是 ,“ 清 华 大 学 计算 机 系列 教材 ” 
的 出 版 发 行 实践 以 及 它 所 取得 的 效果 告诉 我 们 ,在 当前 形势 下 ,编写 符合 国情 的 具有 自主 版 
权 的 高 质量 教材 仍 具 有 重大 意义 和 价值 。 它 与 国外 原版 教材 不 仅 不 矛盾 ,而 且 是 相辅相成 
的 。 本 系列 教材 的 出 版 还 表明 ,针对 某 一 学 科 培 养 的 要 求 ,在 教育 部 等 上 级 部 门 的 指导 下 ， 
有 计划 地 组 织 任课 教师 编写 系列 教材 ,还 能 促进 对 该 学 科 科学 、 合 理 的 教学 体系 和 内 容 的 
研究 。 

我 希望 今后 有 更 多 、 更 好 的 我 国 优秀 教材 出 版 。 


清华 大 学 计算 机 系 教授 ,中 国 科学 院 院士 
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互联 网 在 信息 社会 生活 中 扮演 着 越 来 越 重要 的 角色 ,互联 网 的 使 用 领域 也 拓展 到 了 各 
个 行业 ,如 工业 控制 网 、 物 联网 、 车 联网 ,以 及 星际 间 联 网 。 这 个 边界 , 随 着 人 类 的 认识 还 在 
不 断 地 延伸 。 

赛 伯 空间 (Cyberspace) 是 由 互联 网 连接 的 信息 系统 组 成 的 信息 空间 ,与 目前 现实 四 维 
空间 对 应 。 互 联网 安全 是 由 互联 网 连接 的 信息 系统 组 成 的 赛 伯 空 间 的 控制 权 的 博弈 。 

当前 ,人 类 对 互联 网 连接 的 信息 系统 的 控制 权 的 争夺 非常 激烈 ,世界 各 国都 在 争夺 
基于 互联 网 的 信息 空间 的 控制 权 。 例 如 ,美国 的 “ 爱 因 斯 坦 计 划 ” 被 用 以 发 现 美国 所 有 政 
府 网 站 上 的 入 侵 、 监 控 网 络 系统 安全 ,很 可 能 是 一 种 大 规模 应 用 人 工 智 能 技术 的 网 络 监 
控 技 术 。 又 比如 “棱镜 计划 ”, 也 是 通过 控制 互联 网 上 的 信息 系统 ,获取 情报 信息 的 一 种 
国家 战略 。 

同时 , 随 着 平板 电脑 、 智 能 手机 等 移动 终端 的 销售 量 和 使 用 量 日 益 剧 增 ,移动 应 用 软件 
的 安全 问题 也 日 益 严重 ,给 移动 互联 安全 带 来 了 新 的 挑战 。 例 如 , 安 卓 应 用 软件 的 安全 问题 
越 来 越 严重 ;任何 第 三 方 都 可 以 随意 开发 应 用 软件 并 上 传 到 应 用 平台 ,但 各 个 应 用 市 场 的 安 
全 管理 标准 存在 巨大 差异 ,而 从 应 用 市 场 上 下 载 的 应 用 软件 可 以 轻易 地 被 算 改 、 添 加 恶意 内 
容 后 重新 上 传 到 应 用 平台 。 与 此 同时 ,基于 Windows 的 病毒 程序 可 以 轻松 地 移植 到 安 卓 的 
应 用 程序 中 。 这 些 都 使 得 移动 终端 用 户 的 安全 受到 极 大 威胁 。 

本 书 正 是 在 这 种 环境 和 背景 下 写作 而 成 的 。 本 书 主要 阅 述 网 络 安全 原理 与 技术 , 通 
过 实际 系统 操作 与 系统 剖析 为 手段 ,介绍 了 相关 网 络 安全 的 基本 知识 。 全 书 通过 三 个 部 
分 ,依次 循序 递 进 ,介绍 计算 机 网 络 安全 原理 ,UTM 系统 操作 实践 ,UTM 系统 功能 剖析 
和 代码 介绍 ,如 反 垃圾 邮件 模块 、 反 钓鱼 攻击 模块 、 反 病毒 模块 的 设计 、 流 量 分析 与 图 形 
展示 。 

本 书 内 容 经 过 7 年 实际 教学 使 用 ,选取 的 内 容 力 求 丰富 全 面 ,基本 概念 的 讲解 细致 , 深 
入 浅 出 ,简洁 明了 。 各 种 操作 的 讲解 ,都 配 有 大 量 的 实例 操作 和 详尽 的 解析 。 本 书 编者 长 时 
间 在 网 络 安全 领域 从 事 研究 ,精通 密码 学 .可 信 计 算 、 互 联网 安全 和 软件 可 信 性 分 析 , 对 本 书 
投入 了 巨大 精力 。 本 书 语言 精练 ,内 容 丰 富 ,实用 性 强 , 可 以 让 读者 在 较 短 时 间 内 全 面 把 握 
互联 网 安全 ,并 应 用 于 实际 工作 中 。 

本 书 承蒙 国家 自然 科学 基金 项 目 ( 下 一 代 互联 网 安全 与 隐私 关键 性 技术 的 研究 ) 、 国 家 
863 目标 导向 项 目 ( 一 体 化 网 络 数据 深度 安全 检测 与 分 析 技 术 与 系统 ) 和 国家 973 项 目 (未 
来 互联 网 体系 结构 与 机 制 研究 ) 支 持 。 

本 书 还 获得 了 英特尔 公司 的 “基于 IXP 网 络 处 理 器 的 并 行 布 隆 过 滤器 (BloomFilter) 实 
现 的 反 蠕虫 病毒 系统 ”“ 基 于 IXP 2350 网 络 处 理 器 的 可 信和 网 络 连接 系统 的 设计 和 实现 ”、 
“基于 云 计算 的 系统 漏洞 分 析 与 攻防 平台 ”等 项 目 支持 。 
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互联 网 安全 原理 


第 1 章 网 络 安全 导论 


1.1 网 络 安 全 


世界 不 安全 ,网 络 会 安全 吗 ?“ 网 络 社会 ”Cyber Society, 也 叫 赛 们 空间 ) 是 在 由 计算 机 
网 络 提供 的 低 成 本 的 信息 通信 、 存 储 和 传播 功能 的 信息 基础 框架 上 (技术 可 能 性 ) ,由 人 类 社 
会 中 的 网 民 虚 拟 出 来 的 一 个 社会 空间 ,这 个 空间 活跃 的 社会 角色 都 落实 在 计算 机 的 代理 角 
EE: 

网 络 社会 这 个 虚拟 的 社会 折射 了 很 多 现实 社会 的 影子 ,反映 了 很 多 现实 社会 中 不 能 获 
得 诉求 。 因 此 ,社会 的 行为 ,如 互助 .竞争 攻击 等 ;社会 的 关系 ,如 伙伴 、 朋 友 、 圈 子 等 ;社会 
的 愿望 ,如 正义 、 公 平和 稳定 等 ,这 些 社会 特征 一 样 会 反映 到 这 个 虚拟 空间 上 ,最 后 落实 到 提 
供 信息 基础 框架 的 计算 机 上 的 软件 和 网 络 设备 上 。 

现实 社会 中 有 如 下 典型 的 安全 事件 。 

(1) 2001 年 的 9。11 事件 , 恺 怖 分 子 支持 了 2 架 客 机 撞击 美国 世贸 中 心 双子 大 楼 ,导致 
世贸 中 心 夷 为 平地 ,美国 社会 陷入 了 对 国家 安全 的 担忧 之 中 。 

(2) 2008 年 次 贷 危 机 , 雷 曼 兄弟 倒闭 , 美 林 破产 ,花旗 大 幅 贬 值 几 近 崩 浊 ,导致 全 球 陷 
入 经 济 危 机 , 数 百 万 人 失业 ,经 济 衰 退 。 

(3) 2009 年 金融 危机 进一步 恶化 ,中 国 和 国际 社会 一 道 对 美元 作为 储备 货币 所 引发 的 
经 济 安全 问题 表示 担忧 。 

(4) 2013 年 6 月 ,美国 “棱镜 计划 ”曝光 ,引发 了 各 国 对 网 络 空间 军事 竞赛 的 担忧 。 


世界 动荡 不 安 ,可 以 想象 网 络 上 会 风平浪静 吗 ? 
1.2 互联 网 安全 风险 无 处 不 在 


人 们 平时 打开 计算 机 ,主要 是 登录 学 校 信息 门户 网 站 , 收 收 邮件 ,偶尔 用 网 银 支 付 一 下 
网 费 , 或 者 下 载 一 些 软 件 ,下 载 电影 看 看 等 ,感觉 不 到 这 里 有 什么 安全 风险 。 

殊不知 ,来 自 网 络 的 安全 威胁 从 计算 机 连接 网 络 的 这 一 刻 开始 就 已 经 如 影 随 形 了 , 例 
如 ,机 器 获取 的 IP 地 址 可 能 是 一 个 私有 DHCP 服务 器 放出 来 的 ,下 载 的 软件 中 可 能 被 植 人 
病毒 ,网 站 中 有 可 能 能 入 木马 ,接收 的 邮件 中 可 能 有 ”钓鱼 "邮件 等 ,互联 网 安全 的 风险 无 处 
不 在 。 


1.3 人 类 社会 的 安全 理念 


从 身边 的 社会 中 可 以 看 到 互联 网 安全 的 影 

1. 安全 的 定义 

安全 (Security) 的 字面 意思 是 免 于 风险 和 伤害 。 

本 质 上 “安全 ”是 一 组 物质 设施 ,一 种 社会 精神 意识 和 个 体 的 心理 感觉 。 人 的 安全 感 来 
АТА? 衣食 无 忧 , 家 庭 幸福 ,周围 环 境 受 我 控制 ,职业 和 社会 状况 可 确定 可 控 ( 如 公务 员 )。 
社会 安全 感 来 自 什 么 ”犯罪 率 低 , 社 会 稳定 ,公民 都 有 好 的 社会 保障 体系 和 福利 体系 。 国 家 
安全 感 来 自 什 么 ? 民 富 国 强 , 拥 有 最 先进 的 武器 。 

2. 提高 安全 的 手段 

为 了 保障 安全 ,在 人 类 社会 中 应 当做 到 如 下 几 点 。 

СТ) 了 解 威 胁 和 风险 。 对 威胁 进行 防范 .要 “未 雨 绸 缪 ”时 时 监控 ;对 攻击 进行 阻挡 ,要 

(2) 提高 自身 的 对 抗 能 力 。 打 疫苗 ,提高 免疫 能 力 ,对 危机 的 反应 能 力 , 对 危机 的 控制 
能 力 。 

CD 隔离 是 保护 安全 的 重要 手段 (防御 )。 如 防盗 门 锁 、 禁 闭 室 、 监 狱 . 黑 名 单 、 经 济 封 
锁 等 。 

(4) 增强 对 威胁 的 控制 性 (防御 走向 进攻 )。 知 己 知 彼 ,分 析 自 身 的 脆弱 性 和 黑客 攻击 
方法 及 手段 ,主动 防御 。 

(5) 惩罚 手段 。 经 济 处 罚 ,限制 人 身 自由 等 惩罚 手段 。 

3.“ 适 度 " 安 全 

绝对 安全 状况 是 不 存在 的 ,因此 追求 安全 是 无 止境 的 。 安 全 的 需求 ,基于 人 的 现实 需 
求 ; 满 足 现实 需求 ,基于 人 的 心理 需求 ;最 终 要 满足 人 的 心理 需求 。 

对 于 安全 ,可 以 引入 风险 控制 模型 ,如 图 1-1 所 示 。 举 个 例子 , 某 些 地 区 晚上 出 门 是 很 
危险 的 ,要 保障 安全 ,晚上 就 尽量 不 要 出 门 , 以 避免 被 人 打劫; 实在 要 出 门 , 带 个 防身 工具 ,如 
棒球 棍 , 也 可 以 减缓 被 人 打劫 的 风险 ;最 好 几 个 人 一 起 出 门 , 可 以 在 被 人 打动 的 时 候 转移 风 

风险 
避免 


Lo: 


剩余 风险 
(可 控 ) 


Epid 风险 控制 模型 


险 ; 最 后 依然 有 风险 ,觉得 可 以 承担 ,就 出 门 吧 。 

安全 产品 对 应 的 风险 并 不 一 定 发 生 , 这 和 买 商业 保险 是 一 样 的。 因此 ,制造 不 安全 气 
氛 , 到 处 发 布 各 种 安全 事件 损失 以 兜售 安全 产品 的 现象 也 会 经 常 发 生 , 这 就 是 “安全 ” 论 诈 问 
题 。 安 全 资源 的 过 度 配置 可 能 导致 “过 度 ” 安 全 ,为 了 保护 1 千 元 的 资产 , 却 需要 花 1 万 元 
的 安全 产品 投资 ,是 不 合理 的 。 对 风险 的 评估 是 配置 安全 资源 的 依据 ,也 要 避免 因 小 失 大 的 
问题 。 但 是 对 涉及 国家 安全 的 机 密 数 据 和 文档 ,其 价值 是 不 能 用 经 济 利益 来 衡量 的 。 另 外 ， 
人 是 整个 安全 保障 体系 中 最 重要 的 环节 ,因此 即使 进行 了 安全 投资 ,也 要 在 管理 等 其 他 人 为 
因素 上 多 下 功夫 ,确保 排除 人 为 因素 带 来 的 安全 隐患 。 


B25 网 络 安全 技术 知识 


2.1 互联 网 安全 学 科 全 景 


网 络 安全 是 信息 安全 .计算 机 系统 和 计算 机 网 络 学 科 相 关联 的 综合 学 科 , 因 此 涉及 面 
广 , 工 程 性 强 , 如 图 2-1 所 示 。 


信息 安全 


Te 


图 2-1 网 络 安全 涉及 计算 机 系统 、 计 算 机 网 络 和 信息 安全 


要 了 解 互 联网 安全 的 原理 ,首先 要 了 解 计算 机 系统 。 


2.2 计算 机 系统 


计算 机 系统 由 人 硬件 (Hardware) 系统 和 软件 (Software) 系 统 组 成 ,根据 不 同 的 应 用 场 
合 , 计 算 机 系统 的 硬件 和 软件 配置 将 会 有 很 大 的 差异 ,计算 机 系统 形态 如 下 。 

CD 嵌入 式 计 算 机 : 手机 、PDA 工控 设备 ,家电 控制 器 。 

(2) 个 人 计算 机 : 个 人 电脑 上网本。 

CD 中 型 计算 机 : 服务 器 (文件 .图像 处 理 .金融 交易 等 ) 。 

(4) 超级 计算 机 : 天 河 机 等 。 

与 计算 本 质 相关 的 理论 是 计算 理论 (数学 ) ,主要 用 来 研究 计算 机 能 做 什么 (计算 的 可 行 
TE) ,需要 多 大 的 时 间 和 空间 开销 (计算 复杂 性 ) ,如 何 解决 某 些 特定 问题 的 过 程 与 步骤 ( 算 
法 ) 和 如 何 为 速度 、 空 间或 者 能 耗 等 进行 优化 。 

计算 机 系统 首先 是 人 造 系 统 , 是 一 个 工程 学 适用 的 对 象 。 从 工程 学 的 角度 看 ,计算 机 系 
统 架 构 和 其 他 建筑 工程 没有 本 质 的 区 别 , 都 是 采用 基本 组 件 按照 系统 结构 进行 搭建 ,都 将 尽 
量 地 复 用 已 有 的 功能 组 件 , 减 少 成 本 。 在 系统 架构 的 过 程 中 ,为 了 克服 创建 大 系统 的 复杂 性 

. 6. 


问题 ,都 会 进行 等 级 化 、 组 件 化 ,便于 使 用 工具 、 分 工 协 作 等 。 因 此 计算 机 系统 带 有 演进 性 、 
缺陷 性 等 人 类 的 社会 特征 。 

计算 机 系统 的 发 展 也 体现 了 人 类 在 技术 上 不 断 追 求 更 高 更 快 、 更 强 的 奥林匹克 精神 。 
当前 的 计算 机 系统 也 在 不 断 演进 。 


2.2.1 计算 机 硬件 


计算 机 硬件 是 一 组 集成 电子 器 件 和 一 些 电子 器 件 通 过 电子 线路 板 集成 的 ,计算 机 硬件 
具有 明显 的 组 织 架 构 ( 如 运算 器 /存储 /显示 /连接 ) ,处 理 器 有 Intel Core Duo 和 Core 2 £ 
Ў]. АМР Barcelona 和 Istanbul 系列 .IBM Power PC 等 ,存储 器 有 高 速 缓存 Cache Flash, 
内 存 (Memory) ,磁盘 存储 器 ,外 部 设备 有 输入 /输出 总 线 \、 和 鼠标 ,键盘 、 显 示 接 口 、 音 视频 接 
口 等 。 

与 计算 机 硬件 相关 的 理论 科学 有 微 电 子 物理 .电磁 学 、 材 料 学 等 。 

计算 机 硬件 体系 结构 设计 是 一 种 艺术 ,与 人 类 社会 结构 相 一 致 ,其 特征 也 包括 人 造 系统 
(等 级 化 ` 组 件 化 、 经 济 性 、 演 进 性 、 缺 陷 性 等 ) 。 

个 人 电脑 主板 架构 (CPU 前 端 总 线 十 北桥 十 南 桥 ) 如 图 2-2 所 示 。 


系统 内 存 外 围 设备 


| 
前 端 内 存 AT 传统 低速 输入 / 
总 线 | 图 形 核心 高 速 | 接口 | 输出 控制 器 


中 央 处 理 器 输入 /输出 控制 器 | 一 | 
输入 /输出 控 
内 存 控制 器 中 心 制 器 中 心 
高 速 输入 / 基本 输入 / 
输出 设备 输出 系统 


图 2-2 个 人 电脑 主板 架构 (Intel 公司 ) 


个 人 电脑 主板 高 速 互 连 如 图 2-3 所 示 。 


系统 内 存 外 围 设备 


通道 | sumawa | 媒体 | 传统 低速 输入 / 
HE "nd 接口 | 输出 控制 器 


中 央 处 理 器 
ЕЕ алла 
лано Ан 

高 速 输入 / 基本 输入 / 
输出 设备 输出 系统 


图 2-3 个 人 电脑 主板 高 速 互 连 


32 核 处 理 器 如 图 2-4 所 示 。 


W FFF F 


图 2-4 32 (128 线程 ) 处 理 器 


2.2.2 计算 机 软件 


怎么 生成 计算 机 软件 呢 ? 一 般 来 说 ,计算 机 软件 是 采用 计算 机 工具 软件 制作 出 来 的 。 
对 于 软件 要 完成 的 功能 , 先 用 计算 机 程序 语言 (如 汇编 语言 \.C、C++、Java、C# 、Erlang、Perl、 
Python、JavaScript 等 ) 编 写 出 来 ,然后 调用 计算 机 程序 类 库 API, 采 用 编译 器 (如 GNU, 
VC Intel SGI 等) 生成 可 执行 的 代码 。 

软件 设计 需要 软件 架构 ,尤其 是 操作 系统 (Operating System) 和 应 用 软件 (Application 
Software) ,划分 组 件 和 功能 .进程 和 线程 。 

目前 基于 Web 的 软件 越 来 越 流行 , 富 客户 端 RIA 的 应 用 使 得 传统 C/S 结构 出 现 了 对 
等 的 趋势 ,相当 部 分 的 计算 任务 会 转移 到 本 地 机 器 来 实现 。 比 较 引 人 注 目的 是 Google 的 
Native Client 技术 使 得 在 浏览 器 Chrome 中 运行 二 进 制 代码 几乎 和 在 本 机 上 运行 的 软件 一 
样 快 , 这 样 就 大 大 削弱 了 传统 桌面 软件 霸主 Microsoft 在 软件 方面 的 优势 地 位 。 

软件 体系 结构 设计 是 一 种 艺术 ,目前 不 同 的 操作 系统 ,如 Berkeley FreeBSD, SUN 
Solaris IBM AIX, Linux 等 ,其 系统 架构 也 是 大 有 差异 的 。 因 此 计算 机 软件 的 特征 也 包括 
人 造 系统 的 社会 特性 ,如 等 级 化 .组 件 化 、 演 进 性 、 缺 陷 性 等 。 常 见 的 系统 架构 如 图 2-5 ~ 
图 2-7 所 示 。 


系统 环境 
支持 进程 | | 服务 进程 | | 用 户 进程 | | mv 


1 1 
子 系 统 动态 链接 库 
| I 用 户 态 
内 核 态 
执行 au 
内 核 设备 驱动 和 图 形 
硬件 描 象 层 


图 2-5 Windows XP 系统 结构 


层 服务 、 


es — 


MinWin 
驱动 、 
核心 系统 服务 


图 2-6 Windows 7 & Server 2008 MinWin Kernel 


| | 系统 调用 接口 | | 


虚拟 文件 内 存 进程 抽象 网 络 服务 | 
系统 管理 管理 器 管理 器 ( 套 接 字 ) 


і 


TCP/IP 协 议 
驱动 程序 


图 2-7 Linux 系统 结构 


2.3 计算 机 系统 产业 


计算 机 系统 产业 是 一 个 生态 系统 (Ecosystem) ,其 中 的 大 公司 如 下 。 

芯片 设计 商 : Intel, AMD, NVIDIA, VIA ORRE T), TI( 德 州 仪器 ) NS( 美 国 国家 半 
导体 ) 等 。 

芯片 制造 商 : 台积电 、Intel .MTK( 联 发 科 ) .中 芯 国 际 等 。 

主板 集成 商 : Intel m, Acer, HERT. 

软件 提供 商 : Microsoft, IBM Oracle 等 。 

计算 机 系统 产业 是 一 个 完整 的 工业 链 (Industrial Product Chain) ,有 上 中 下 游 产 品 之 
分 ,下 游 厂 商 集成 上 游 厂 商 生 产 的 组 件 构造 新 的 组 件 , 最 后 组 成 服务 产品 ,向 终端 零售 商 供 
货 , 最 后 交付 给 实际 用 户 。 


2.4 计算 机 网 络 


作为 人 类 语音 通信 的 电话 网 络 早 就 存在 СА Alexandra Graham Bell 发 明 电话 始 , 有 
100 多 年 的 历史 ) ,其 他 如 电报 网 络 也 有 很 长 的 历史 。 从 1946 年 的 电子 计算 机 出 现 , 将 计算 
机 系统 连接 起 来 的 共享 计算 /存储 等 资源 的 需求 ,是 计算 机 网 络 产生 的 直接 原因 。 

计算 机 网 络 是 通过 网 络 设备 将 独立 异 构 计 算 机 系统 连接 起 来 ,完成 计算 机 系统 之 间 的 
资源 共享 。 要 解决 的 一 个 核心 问题 是 需要 定义 一 套 原 语 (Primitive) , 即 通信 协议 (如 当前 互 
联网 采用 的 TCP/IP) ,通信 协议 让 不 同 的 异 构 计 算 机 之 间 能 够 交换 数据 。 此 外 ,计算 机 网 
络 要 研究 如 何 有 效 地 连接 计算 机 系统 ,因此 需要 通信 技术 作为 基础 光 通信 数据 通信 。 通 信 
技术 的 革命 也 为 计算 机 网 络 的 普及 打下 了 基础 。 


2.5 通信 网 络 


传统 的 通信 网 络 负责 信息 传输 和 交换 ,通信 网 络 运营 商 主 要 是 作为 信息 的 通道 商 , 收 取 交 
通 费 用 ,并 不 提供 内 容 ,如 电信 和 网络 、X. 25 数据 网 络 等 。 随 着 通信 技术 的 突飞猛进 ,信息 通信 
的 通道 价值 日 益 降低 ,而 通信 内 容 的 价值 比较 高 。 互 联网 最 吸引 人 的 是 Web 内 容 和 各 种 音 视 
频 等 ,提供 了 丰富 的 内 容 , 逐 渐 取代 了 一 些 传统 的 媒体 形态 ,因此 互联 网 已 不 再 单纯 是 作为 网 
络 存 在 ,而 是 作为 一 种 新 的 内 容 方 式 而 存在 ,人 们 平时 说 的 “上 网 ”, 其 实 就 是 后 者 的 形式 。 

3G 网 络 的 兴起 ,为 未 来 将 数据 通信 进一步 发 展 到 普 适 的 地 步 打下 基础 ,以 中 国 移动 为 代 
表 的 传统 通信 网 络 运营 商 为 互联 网 接 人 提供 丰富 带宽 以 后 ,这 些 运营 商 将 沦 为 “通道 ”的 角色 ， 
很 多 服务 提供 商 将 会 倒闭 。 因 此 这 些 运 营 商 目前 也 大 力 开发 内 容 , 以 提高 网 络 的 “粘性 ”。 


2.6 计算 机 网 络 产 业 
计算 机 网 络 产 业 也 是 一 个 生态 系统 ,其 特征 是 网 络 系统 是 一 个 基础 设施 ,基于 计算 机 系 


统 ,每 个 组 件 都 是 计算 机 系统 。 
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由 组 件 构 造 新 的 组 件 , 最 后 组 成 服务 产品 ,符合 人 类 不 断 建造 更 大 可 用 系统 的 内 在 
动力 。 

其 中 的 大 公司 如 下 。 

芯片 供应 商 : Intel, Broadcom, Marvel, PMC 等 。 

设备 提供 商 : Cisco, Juniper, fg PNT, 

网 络 运营 商 : 中 国 移动 、 中 国联 通 、 中 国教 育 科研 网 长 城 网 ( 军 方 ) Sprint, AT&T 


Verizon, Comcast , 


2.7 计算 机 网 络 服务 产业 


类 似 于 传统 工业 的 制造 业 、 零 售 业 和 服务 业 。 依 托 计算 机 网 络 构建 的 基础 框架 设施 , 面 
向 最 终 用 户 的 多 方面 的 计算 机 网 络 服务 产业 。 面 向 最 终 用 户 的 服务 类 大 公司 如 下 。 

搜索 : Google, HE. 

门户 : CNN „Sina, NetEase。 

即时 通信 : AOL, Skype, QQ. 

电子 商务 : eBay、DangDang。 

社区 网 络 : Facebook,Blog 。 

网 络 游戏 : 盛大、 网 易 、 九 城 。 

面向 最 终 用 户 的 服务 类 (灵活 的 中 小 规模 公司 ) ,通过 定制 系统 、 定 制服 务 和 紧密 结合 


2.8 IT y” My 


IT 产业 一 般 分 为 计算 机 工业 和 通信 工业 ,计算 机 工业 一 般 指 计算 机 系统 产业 计算 机 终 
端 、. 计 算 机 网 络 产业 和 计算 机 网 络 服务 产业 。 通 信 工 业 包 括 无 线 电信 和 网络、 传统 固化 网 络 和 
电信 通信 终端 等 产业 。 

计算 机 系统 硬件 类 : Intel AMD, Apple, Lenovo 等 。 

计算 机 系统 软件 类 : Microsoft, Oracle 等 。 

计算 机 网 络 设备 类 : Cisco,Juniper,.3Com, HuaWei, ZTE 等 。 

计算 机 网 络 服务 类 : Google, Yahoo! , Facebook, Baidu 等 。 

通信 工业 : Alcatel-Lucent, Nokia-Siemens, Ericsson, HuaWei,ZTE 等 。 


2.9 信息 通信 安全 
通信 安全 是 指 在 通信 场景 下 ,保护 交互 双方 的 信息 交互 的 机 密 性 .完整 性 .可 认证 性 、 非 
抵赖 性 和 服务 的 可 靠 性 。 
举 一 个 通信 场景 : 假设 Alice СА) 想 和 她 的 存款 银行 Bank СВ) 进行 一 些 金融 事务 
过 程 。 
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1. HMB (Confidentiality) 

不 应 出 现 未 经 授权 的 Alice 信息 的 公开 ,除了 Alice(A) 和 银行 Bank(B) ,其 他 任何 人 不 
应 该 获悉 他 们 之 间 的 信息 交换 。 

2. 通信 的 完整 性 (Integrity) 

不 应 出 现 未 经 授权 的 信息 操作 ,除了 Alice A) 和 银行 Bank CB) ,其 他 任何 人 不 能 修改 
他 们 之 间 的 信息 交换 。 

3. 通信 的 可 认证 性 (Authentication) 

接收 者 Bank (B) 能 确认 信息 的 起 源 的 能 力 。 入 侵 者 不 能 伪装 其 他 用 户 , 如 Alice (A), 

4. 通信 的 非 抵 赖 性 (Nonrepudiation) 

接收 者 Bank (B) 应 该 能 确认 信息 确实 是 Alice (A) 发 出 的 能 力 。 发 送 者 Alice (А) Ж 
能 否认 之 前 她 发 过 的 数据 。 

5. 服务 的 可 靠 性 (Service Reliability) 

应 该 具有 保护 通信 会 话 抵抗 拒绝 服务 攻击 的 能 力 。 

如 何 满足 信息 通信 安全 需要 ,特别 是 信息 安全 的 机 密 性 .完整 性 和 可 认证 性 (CIA 特 
性 ) ,需要 密码 学 的 知识 与 工具 。 密 码 学 是 理论 计算 机 科学 的 重要 内 容 。2002 年 美国 计算 
机 学 会 ACM 的 图 灵 奖 颁 给 了 麻 省 理工 学 院 (MIT) 的 Ronald L. Rivest Adi Shamir 和 
Leonard M. Adleman, 以 表彰 他 们 提出 了 RSA 公 钥 密码 算法 。2012 年 美国 计算 机 学 会 
ACM 的 图 灵 奖 又 颁 给 了 麻 省 理工 学 院 的 Shafi Goldwasser 和 Silvio Micali 教授 ,以 表彰 他 
们 对 基于 复杂 理论 的 密码 学 的 数学 可 证 明 性 的 贡献 。 

密码 学 主要 研究 计算 数学 、 加 解密 算法 、 密 码 Hash 函数 .签名 与 验证 、 密 码 协议 等 。 在 
这 些 基 本 密码 工具 基础 上 ,架构 对 称 密码 体制 、 公 钥 密 码 体 制 、 安 全 散 列 函 数 和 密 钥 管理 与 
分 发 。 在 此 基础 上 ,最 终 标准 化 形成 了 现在 网 络 环境 下 的 信任 机 制 PKI 框架 和 X. 509 证 书 
系统 。 基 于 PKI 框架 和 X. 509 证 书 是 目前 政府 和 商业 网 站 防止 被 钓鱼 和 假冒 的 基本 技术 
手段 ,也 是 互联 网 内 容 安 全 的 基础 。 图 2-8 给 出 了 美国 国家 标准 与 技术 局 (National 
Institute of Standards and Technology. NIST) 制 订 的 密码 学 标准 及 其 分 类 。 


| | 


Security requirements for cryptographic modules 


(加 密 模块 安全 要 求 ) 


Symmetric key Public key Secure hash Random 

(对 称 密 钥 ) CA) (安全 散 列 ) Number 
数据 加 密 算 法 数字 签名 算法 Generation 
三 重 数据 加 密 标准 公 钥 加 密 算法 (随机 数 生成 ) 
高 级 加 密 标准 椭圆 曲线 数字 签名 算法 

块 密码 模式 密 钥 创建 机 制 

密 钥 相关 的 哈 希 运算 消息 认证 码 | | 密 钥 管理 指南 


图 2-8 密码 学 基本 分 类 及 其 标准 (NIST) 
我 国 的 密码 学 标准 主要 是 SM2 椭圆 曲线 密码 算法 、SM3 密码 杂凑 函数 和 SM4 分 组 加 
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密 算法 。SM2 椭圆 曲线 密码 算法 包括 三 个 子 算 法 : 椭圆 曲线 数字 签名 算法 (SM2-1)、 椭 圆 
曲线 密 钥 交 换 协 议 (SM2-2) ,椭圆 曲线 公 钥 加 密 算法 (SM2-3)。 

中 国 在 密码 学 方面 也 做 出 了 不 少 贡 献 ,例如 ,上 海 交通 大 学 的 来 学 嘉 教授 和 苏黎世 联邦 
理工 学 院 的 梅 西 教授 设计 的 IDEA 加 密 算法 ,至 今 被 PGP (Pretty Good Privacy) 使 用 。 
2004 年 山东 大 学 的 王小云 教授 破解 了 MDS 散 列 函数 ,接着 又 攻破 了 SHA-1 散 列 函 数 ,从 
而 推动 美国 国家 标准 技术 局 NIST 于 2008 年 开始 ,进行 新 一 轮 的 散 列 函 数 竞 赛 ,以 代替 
MD5 和 SHA-1 PRX, 2012 年 10 月 ,NIST 正式 宣布 Keccak 算法 为 SHA-3 标准 ,Keccak 
算法 为 比利时 的 研究 组 提出 。 对 SHA-3 的 破解 又 将 成 为 研究 的 一 个 新 热点 。 


2.10 信息 安全 工业 


信息 安全 工业 包括 计算 机 安全 工业 ,计算 机 安全 工业 包括 主机 安全 和 网 络 安全 ,目前 呈 
现 两 者 的 融合 趋势 。 信 息 安全 产品 及 服务 如 图 2-9 所 示 。 


安全 软件 ”安全 服务 
安全 性 与 安全 内 容 n 
漏洞 管理 管理 威胁 管理 | = 
事件 管理 防 病毒 软 防火 墙 | 一 一 
漏洞 管理 “|| Web 流 过 滤 | | 入 侵 检测 软件 | 一 一 
ы 消息 安全 “|| 入 侵 防御 软件 


图 2-9 信息 安全 产品 及 服务 


计算 机 安全 工业 是 一 个 小 众 市 场 ,多 姿 多 彩 。 由 于 这 个 产业 的 特殊 性 ,大 家 可 能 不 太 了 
解 。 安 全 工业 是 一 个 “隐蔽 ”的 工业 ,造成 这 个 行业 的 生态 链 具 有 比较 封闭 的 特殊 性 。 国 家 
机 构 中 负责 安全 工业 监管 的 部 门 有 公安 部 .安全 部 .中 央 机 要 局 和 国家 密码 管理 局 .总 参 通 
信 部 。 

此 外 ,每 个 行业 都 有 各 自 的 安全 产业 ,安全 标准 和 服务 ,如 金融 业 、 电 信 业 等 。 


2.11 网 络 安 全 


互联 网 安全 是 信息 通信 安全 的 一 部 分 , 即 采用 网 络 设备 或 者 软件 ,提供 对 计算 机 系统 和 
计算 机 网 络 的 保护 ,抵抗 可 能 的 破坏 和 风险 。 互 联网 安全 是 计算 机 控制 权 的 攻防 ,是 计算 机 
网 络 世 界 中 的 较量 , 带 有 浓厚 的 “军备 竞赛 "Arm Race) 特 征 。 

网 络 安全 的 特点 具有 攻防 两 面 : 攻击 的 方法 都 是 细致 入 微 ,针对 非常 细致 的 漏洞 ,属于 
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案例 研究 ;攻击 防护 比 攻 击 要 困难 ,处 于 “ 易 攻 难 守 ”境况 ,这 和 网 络 环境 相关 。 
掌握 网 络 知识 是 互联 网 安全 的 有 效 保障 ,知道 攻击 的 知识 和 防守 的 办 法 , 才 会 有 良好 的 
安全 意识 和 物质 技术 保障 。 


2.12 五 联网 安全 产业 


互联 网 安全 产业 是 IT 工业 的 重要 组 成 部 分 ,自从 互联 网 高 速 发 展 以 来 ,逐渐 被 人 关注 
(1993 年 至 今 )。 

互联 网 安全 研究 是 计算 机 网 络 学 科 的 分 支 ,具有 很 强 的 实践 性 和 工程 性 。 

互联 网 安全 代表 性 的 产品 防火 墙 就 是 这 个 时 候 提 出 来 的 。 
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S35 网 络 安全 问题 的 产生 


本 章 探讨 互联 网 安全 为 什么 会 有 这 么 多 问题 ,其 中 互联 网 体系 架构 和 软件 系统 脆弱 性 
是 网 络 安全 一 内 一 外 的 两 大 重要 原因 。 


3.1 互联 网 的 巨大 成 功 必要 条 件 

基于 TCP/IP 技术 的 互联 网 获得 了 巨大 成 功 ,战胜 了 通信 工业 提出 的 AT MAX, 25 等 其 
他 网 络 技术 方案 成 为 事实 的 计算 机 网 络 标准 ,成 为 人 类 社会 的 基础 信息 网 络 框架 。 同 时 ， 
WWW 的 兴起 为 互联 网 的 内 容 提供 了 一 种 标准 的 媒体 描述 方式 ,使 得 互联 网 不 仅 作为 计算 
机 网 络 而 存在 ,同时 具有 丰富 的 媒体 内 容 资源 ,促进 了 互联 网 爆炸 式 的 增长 。 在 此 基础 上 ， 
随 着 信息 化 的 浪潮 ,人 类 社会 的 社会 行为 纷纷 迁移 到 了 互联 网 上 ,形成 了 电子 政务 .电子 商 
务 .电子 金融 .电子 教学 等 ,使 得 互联 网 的 使 用 成 为 人 类 的 生活 习惯 ,互联 网 安全 问题 随 之 受 
到 大 家 的 关注 ,以致 成 为 热点 问题 。 

归结 互联 网 的 成 功 (参考 互联 网 基本 原理 章节 ) ,互联 网 技术 作为 传统 电信 网 络 的 颠覆 
者 ,是 一 个 开放 的 平台 ,从 技术 发 展 角度 去 考虑 设计 问题 ,提供 了 丰富 的 媒体 内 容 , 顺 应 用 户 
的 需求 ,顺应 新 事物 由 弱 到 强 、 由 小 到 大 的 发 展 过 程 。 主 要 因素 如 下 。 

(1) 从 不 可 靠 的 网 络 出 发 ,构建 可 靠 的 网 络 。 

(2) 从 互信 、 未 考虑 安全 因素 出 发 ,构建 安全 网 络 。 

(3) 从 对 等 角度 ,构建 大 规模 系统 。 

K 3-1 给 出 了 互联 网 与 电信 和 网络 的 对 比 说 明 。 


表 3-1 电信 网络 与 Internet 的 比较 


电信 网 络 Internet 
设计 用 途 | 话音 传送 为 主 数据 传输 网 络 
服务 内 容 | 电话 ,传真 .短信 WWW Web、 多 媒体 等 
设计 目的 | 商业 化 可 运营 化 fik Ait B.A 
商业 模式 | 收取 通信 费用 初期 无 商业 化 、 多 元 化 
设计 要 求 | 保证 通信 质量 尽力 传送 ,保证 互 连 互通 
结构 模式 | 同 质 , 从 上 到 下 ,集中 管理 异 质 、 对 等 ,分 布 式 、 自 治 
发 展 模式 | 集中 式 架 构 , 集 中 规范 ,集中 升级 代 议 制 /工程 师 联盟 /IETF 管理 架构 和 方式 
网 络 终端 | 固定 通话 ,终端 地 址 计算 机 
设计 理念 | 网 络 设计 复杂 ,终端 功能 简单 网 络 简单 ,尽量 把 复杂 功能 留 给 终端 


是 否 需要 重新 设计 Internet? 答案 是 肯定 的 ,也 就 是 设计 下 一 代 互 联网 或 者 未 来 网 络 。 
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目前 IP v6 应 用 越 来 越 广阔 ,事实 上 IPv6 只 是 新 一 代 互 联网 的 一 种 而 已 。 

如 何 设计 呢 ? 这 主要 是 架构 与 工程 的 问题 ,理论 问题 不 多 。 事 实 上 ,从 2010 年 开始 ,各 
国都 兴起 了 新 的 网 络 设 计 热 潮 , 美 国 国家 自然 科学 基金 (NSF) 在 2010 年 一 次 资助 了 4 个 未 
来 的 互联 网 研究 项 目 , 以 解决 当前 互联 网 存在 的 网 络 安全 、 移 动 性 .应 用 僵化 和 可 管理 性 等 
问题 。 我 国 在 未 来 互联 网 研究 中 投资 巨大 ,目前 ,清华 大 学 已 经 和 NDN 项 目 组 进行 合作 ， 
以 期 望 在 该 领域 有 所 斩获 。 

其 中 最 新 潮 的 解决 思路 称 为 信息 中 心 网 络 (Information Centric Networking, ICN) , 强 
调 信息 内 容 的 互 连 。 这 其 中 最 引 人 注 目的 是 命名 数据 网 络 NDN/CCN (Named Data 
Networking/ Content Centric Networking) ,由 加 州 大 学 洛杉矶 分 校 (UCLA) 计 算 机 科学 系 
张 丽 霞 教授 领导 12 个 学 校 联合 开发 。 


3.2 计算 机 系统 的 安全 漏洞 


当前 随 着 计算 机 系统 的 功能 越 来 越 丰富 ,系统 的 规模 越 来 越 庞大 , 软 硬 件 系统 自身 的 健 

壮 性 由 于 系统 的 复杂 性 而 降低 ,造成 系统 存在 很 多 安全 “漏洞 ”。 在 软件 开发 过 程 中 ,开发 的 

复杂 性 通过 编程 语言 .编程 类 库 .编译 工具 和 操作 系统 调用 而 大 大 增加 了 安全 漏洞 的 产生 。 

同时 在 商业 化 的 竞争 压力 下 ,在 系统 的 性 能 功能 与 安全 性 之 间 的 平衡 中 ,系统 开发 对 安全 功 

能 的 重视 不 够 , 因为 安全 的 代价 是 以 大 大 牺牲 性 能 为 代价 。 软 件 系统 漏洞 增长 趋势 如 
图 3-1 所 示 。 

漏洞 分 布 图 
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图 3-1 软件 系统 漏洞 增长 趋势 


安全 与 用 户 友好 性 是 一 个 比较 大 的 矛盾 : 一 个 典型 的 案例 是 微软 公司 的 Windows 
XP, 因 其 简单 易 用 成 为 大 众 网 吧 的 首选 操作 系统 ,虽然 其 安全 性 比较 低 , 但 易 用 性 极 好 ; 相 
反 ,Windows Vista 系统 吸收 了 Windows XP 的 安全 问题 , 却 因为 重视 安全 性 而 导致 易 用 性 
和 性 能 的 下 降 ,大 大 减少 了 用 户 的 接受 程度 。 因 此 ,微软 公司 不 得 不 在 2009 年 推出 了 
Windows 7, 通 过 降低 Vista 系统 的 安全 级 别 , 以 获得 用 户 对 其 易 用 性 的 认可 。 从 这 个 例子 
可 以 看 出 ,互联 网 安全 有 其 根本 性 的 原因 (人 的 因素 )。 
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3.3 互联 网 的 安全 性 


随 着 计算 机 网 络 技术 的 不 断 普及 ,尤其 是 互联 网 成 为 信息 基础 框架 后 ,全 世界 的 计算 机 
采用 TCP/ 了 PP, 通过 路 由 器 .交换 机 而 连接 起 来 ,形成 了 全 球 互 连 互通 的 网 络 。 这 样 , 原 本 是 
单个 计算 机 系统 的 安全 漏洞 通过 网 络 的 互 连 效应 被 大 大 地 放大 了 。 

更 大 的 问题 是 ,Internet 是 一 个 分 布 式 自 组 织 的 网 络 , 其 体系 架构 中 缺乏 统一 的 安全 和 
管理 框架 。 网 络 环境 造成 了 攻击 成 本 低 ,造成 危害 大 的 不 利 局 面 。 比 如 动态 IP 地 址 分 配 、 
IP 路 径 重 配置 `NAT( 网 络 地 址 转换 )、P2P 覆盖 网 络 等 技术 使 得 互联 网 安全 事件 的 审计 和 
追踪 非常 困难 ,安全 攻击 追踪 受制 于 管理 域 问题 而 不 能 得 到 应 有 的 “惩戒 ”。 


3.4 互联 网 安全 的 “黑金 "现象 


目前 很 多 病毒 ,如 蠕虫 (Worm) .木马 (Torjan) 和 机 器 人 网 络 (Botnet) 的 背后 都 有 地 下 
经 济 的 黑 影 。 互 联网 安全 事件 从 单纯 的 “ 找 乐 "(For Fun)、 显 示 “ 个 人 成 就 ”等 动机 ,迅速 转 
化 为 受 经 济 利益 驱动 的 具有 黑金 性 质 的 地 下 产业 。 制 作 病毒 ,传播 病毒 ,控制 机 器 人 网 络 ， 
散发 兜售 广告 邮件 (SPAM) 成 为 一 条 完整 的 地 下 经 济 产业 链 。 

加 州 大 学 伯克利 分 校 的 Vern Paxson 教授 研究 表明 ,通过 控制 机 器 人 网 络 来 散发 兜售 
广告 邮件 ,是 成 本 收益 比 非常 低 的 销售 手段 ,从 而 为 机 器 人 网 络 扩散 提供 了 很 强 的 经 济 
动机 。 

此 外 ,通过 控制 机 器 人 网 络 ,对 政府 .商业 等 网 站 进行 分 布 式 拒绝 服务 (Distributed 
Denial of Service,DDoS) 攻 击 ,表达 政治 诉求 或 者 谋求 经 济 利益 ,也 是 目前 互联 网 安全 事件 
频 发 的 因素 之 一 。 
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第 4 章 互联 网 的 基本 原理 


前 面 提 到 了 互联 网 的 安全 性 问题 ,为 了 进一步 说 明 其 深层 的 原因 ,下 面 对 其 基本 原理 进 
行 简要 介绍 。 


4.1 互联 网 的 定义 


解决 人 人 之 间 的 通信 问题 ,最 基本 的 手段 是 给 每 对 人 之 间 都 拉 上 专线 光纤 ,形成 点 对 点 
网 络 , 如 图 4-1 所 示 。 但 是 因为 经 济 成 本 的 问题 ,这 样 做 是 不 
可 行 的 ,所 以 需要 设计 一 个 接 入 网 络 , 人 人 先 接 入 局 部 网 络 E- E 
(或 叫 局 域 网 ,对 于 世界 范围 ,局 部 也 是 相对 的 ) ,然后 由 路 由 图 4-1 点 对 点 网 络 


器 (Router) 将 这 些小 网 络 连接 起 来 ,形成 更 大 的 世界 范围 的 
网 络 ,这 就 是 互联 网 的 端 到 端的 基本 思想 (End-to-End) ,如 图 4-2 所 示 。 


Network 1 [| (<D Í] Genan) 


Router Router 


Vd 4-2 端 到 端的 跨 网 络 相连 


实际 的 互联 网 拓扑 图 如 图 4-3 所 示 。 


ISP Backbone ISP 
(互联 网 服务 提供 商 ) (骨干 网 ) (互联 网 服务 提供 商 ) 


图 4-3 实际 的 互联 网 拓扑 图 


互联 网 采用 TCP/IP, 由 Vinton С. Cerf 和 Robert E. Kahn 于 20 世纪 70 年 代 设计 ,并 
于 1980 年 9 月 公布 为 IETF RFC 791 标准 。TCP/IP 为 不 同 的 数据 网 络 ( 局 部 网 络 ) 提 供 了 
一 套 标准 的 协议 ,使 得 不 同 的 数据 网 络 按照 这 一 套 标 准 语义 和 语法 ,能够 建立 路 由 和 通信 。 
为 此 ,TCP/IP 设计 者 获得 了 2004 年 的 ACM 图 灵 奖 。 

互联 网 的 设计 与 人 类 社会 运行 几 千年 的 邮政 系统 是 一 致 的 。 正 如 书面 信函 一 样 , 只 要 
将 信函 写 好 , 装 上 信封 , 写 上 收 信人 地 址 和 寄 信人 地 址 ,投入 邮局 的 邮箱 就 可 以 了 。 互 联网 
采用 TCP/IP 一 样 的 运作 模式 。 
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首先 ,互联 网 采用 IP 协议 通过 编 址 为 全 世界 的 计算 机 都 分 配 一 个 IP 地 址 (固定 地 址 ， 
类 比 于 收 信人 和 寄 信 人 地 址 ) ,IP 地 址 中 包含 了 该 计算 机 所 在 区 域 号 ( 即 IP 地 址 的 网 络 地 
fib. Network Address, 类 比 于 邮政 编码 Postal Code) ,以 及 在 该 区 域内 的 详细 地 址 , 即 主机 
地 址 (Host Address) 。 

其 次 ,用 户 要 发 送 的 消息 分 解 成 许多 数据 包 ( 又 叫做 网 包 ,Packet, 类 比 于 一 封 封 信 郴 )， 
送 给 的 第 一 个 路 由 器 叫 网 关 ( 也 叫 默 认 网 关 ,Default Gateway, 类 比 于 邮局 邮箱 ) ,路 由 器 先 
本 地 保存 这 份 数据 ,然后 等 待机 会 发 送 到 下 一 跳 的 路 由 器 上 ,这 样 一 跳 一 跳 地 路 由 (这 种 模 
式 叫做 存储 转发 ,类 比 于 邮政 职工 将 信件 从 一 个 邮局 送 往 下 一 个 邮局 ) 。 

如 何 确定 信件 的 下 一 个 路 由 器 需要 IP 网 络 的 路 由 系统 (Routing System) 来 确定 。 路 
由 系统 确定 了 从 A 点 到 也 点 路 由 过 程 中 的 传输 路 径 , 它 是 通过 在 每 个 路 由 器 上 维护 一 张 路 
由 表 来 实现 。 每 个 路 由 器 独立 维护 自己 的 路 由 表 。 每 个 路 由 器 都 会 主动 向 邻居 路 由 器 通报 
自己 的 路 由 表 信 息 ,根据 相 邻 的 路 由 器 的 路 由 表 来 更 新 自己 的 路 由 表 。 

当 一 个 网 包 到 达 之 后 ,通过 查找 路 由 表 信 息 ,就 可 以 将 这 份 数据 传送 到 下 一 个 路 由 器 
上 ,最 终 到 达 目 的 计算 机 上 ,在 目的 计算 机 上 进行 数据 重组 ,呈现 给 用 户 。 

这 样 就 完成 了 信息 从 A 点 计算 机 转移 到 B 点 计算 机 的 过 程 。 


4.2 互联 网 的 人 机 接口 一 一 域名 系统 


互联 网 通过 所 有 计算 机 遵守 IP 协议 完成 了 信息 在 A 点 计算 机 和 B 点 计算 机 之 间 的 数 
据 传送 。 

这 时 专门 用 于 提供 信息 内 容 的 计算 机 出 现 了 。 但 是 信息 的 内 容 如 何 显示 与 创建 ,如 何 
发 布 需要 规范 ,这 就 是 W3C 的 WWW 的 标准 。 浏 览 器 是 显示 这 些 标准 格式 内 容 的 软件 。 

随 着 浏览 器 的 普及 ,以 W3C 标准 的 HTML 的 Web 内 容 越 来 越 多 ,这 时 提供 这 些 Web 
内 容 的 网 站 也 越 来 越 多 ,如 Google、Sina、Sohu 等 门户 网 站 。 怎 么 搜索 定位 这 些 内 容 的 计算 
机 就 成 了 问题 ,如 何 将 sina. com 映射 成 IPP 地址 ,这 就 有 了 域名 系统 (Domain System) ,而 存 
储 这 些 域名 与 IP. 地 址 映射 关系 的 机 器 就 是 域名 服务 器 。 

域名 系统 是 互联 网 的 人 机 接口 ,为 每 个 提供 内 容 的 计算 机 确定 一 个 可 读 的 名 字 。 互 联 
网 的 内 容 通 过 域名 系统 就 能 够 精确 定位 ,从 而 形成 了 一 个 提供 内 容 和 服务 的 互联 网 ,这 才 是 
互联 网 的 最 重要 的 用 处 ,也 就 是 "上 网 ?的 意义 。 


4.3 互联 网 的 交通 运输 一 一 路 由 系统 


IP 网 络 的 每 个 网 包 因 为 具有 独立 的 发 信人 地 址 和 寄 信 人 地 址 ,因此 路 由 器 对 这 样 的 网 
包 进 行 独立 路 由 选择 ,互联 网 的 信息 选 路 和 信息 传送 是 同步 进行 的 。 

首先 ,IP 网 络 中 的 每 个 遵循 IP 协议 的 机 器 都 是 一 个 路 由 器 ,根据 路 由 表 来 转发 数据 ， 
如 果 路 由 表 项 的 下 一 条 是 自己 , 则 说 明 自 己 是 这 个 信息 的 接收 者 ,否则 的 话 ,就 尽力 把 信息 
传送 给 其 他 路 由 器 ,如 默认 网 关 路 由 器 或 者 其 他 相 邻 路 由 器 。 

互联 网 的 路 由 系统 也 是 分 布 式 的 ,按照 网 络 管理 域 分 为 域 间 路 由 和 域内 路 由 。 分 别 采 
用 不 同 的 路 由 协议 来 更 新 每 个 路 由 器 的 路 由 表 。 
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对 于 用 户 而 言 ,互联 网 的 路 由 系统 是 不 可 见 的 ,用 户 只 要 配置 好 自己 的 默认 路 由 器 就 可 
以 实现 网 络 服务 的 接 入 ,因此 是 没有 网 络 接 入 访问 控制 的 。 


4.4 IP 协议 


IP 协议 尽力 而 为 传送 数据 到 达 指 定 地址 ,不 确认 数据 是 否 正确 到 达 , 是 一 种 无 连接 
(Connectionless) 的 协议 。 

1. IP 地 址 

当前 IP 协议 版 本 4(Internet Protocol Version 4. IPv4) 采 用 IP 地 址 辨别 互联 网 上 设备 
或 主机 ,是 唯一 的 识别 码 , 具 有 全 局 效应 ,适用 于 不 同 网 络 间 寻 址 。 

IP 地 址 由 32b 组 成 ,理论 上 讲 可 有 2%= 4294967296 个 地 址 。 

IP 地 址 采用 分 层 结构 ,由 网 络 地 址 (Network Address) 和 主机 地 址 (Host Address) 两 
部 分 组 成 。 依 照 网 络 地 址 和 主机 地 址 的 分 配 ,分 成 5 类 地 址 , 即 A 类 、.B 类 .C 类 .D 类 和 开 
类 地 址 ,如 图 4-4 所 示 。 分 成 5 类 地 址 主要 原因 是 网 络 的 规模 (内 部 的 计算 机 数目 ) 多 种 
多 样 。 


2nd 字 节 | 3rd 字 节 | тї | 主机 数 
主机 地 址 16 777 216 


图 4-4 IP 地 址 的 分 类 


清华 大 学 的 IP 地 址 为 59. 66. 0.1/16(A 类 ) 和 166. 111. 0. 1/16(B 类 )。 采 用 ipconfig 
命令 可 以 有 效 确 定 IP 地 址 ,信息 如 下 。 


C:\Users\ zhenchen> ipconfig 


Windows IP 配置 
以 太 网 适配器 Local Area Connection: 
连接 特定 的 RS 后 级 . . . . . . . : tsinghua.edn.an 
Teva Mok 2 ce a a 1 166.111.137.197 
FRI ceo 255.255.255.0 
И ВЕ ааваа 166.111.137.1 
2. FARE 
如 何 获取 IP 地 址 的 网 络 地 址 呢 ? 这 个 问题 由 子 网 掩 码 (Subnet Mask) 来 解决 ,如 
图 4-5 所 示 。 
3. 分 割 子 网 


将 一 较 大 的 网 络 区 段 切割 成 几 组 较 小 的 网 络 , 使 用 于 内 部 路 由 选择 协议 (Interior 
Routing Protocol) 进行 路 由 交换 。 
例如 ,B 级 网 络 59. 66. 0. 0/16 可 拆 分 成 256 个 较 小 网 络 。 
. 20 。 


IP 地 址 11000000 10101000 00000001 01110100 
Ë= 


27 位 
FRE 1I 11U1 11111111 11100000 
AND 
络 号 11000000 10101000 00000001 01100000 
1 2 + 168 + 1 + 96 
图 45 子 网 掩 码 
59.66.0.0 / 24 
59.66. 1.0 / 24 


59. 66. 2.0 / 24 


59. 66. 255.0 / 24 
4. IP 协议 数据 格式 
IP 协议 头 就 是 普通 书面 信函 的 信封 ,其 格式 如 图 4-6 所 示 。 信 封 内 装 的 信纸 ,就 是 这 里 
的 数据 。 


0 4 8 [2 [16 [20 [24 [28 32 
4b 4b 8b 16b 
版 本 号 | 头 部 长 度 报 文 总 长 度 (B) 
16b 13b 
标识 片 偏 移 量 
8b 8b 16b 
生存 时 间 协议 首部 校 验 
32b 
源 IP 地 址 
32b 
目的 IP 地 址 
选项 
数据 


图 4-6 IPv4 协议 头 


为 什么 寄 信 人 地 址 要 写 在 收 信人 之 前 呢 ? 因为 IP 协议 是 美国 人 设计 的 ,大 家 可 以 注意 
一 下 西方 的 普通 书信 格式 是 寄 信 人 在 前 , 收 信人 在 后 ,体现 对 收 信人 的 礼貌 ,因此 这 种 设计 
就 是 文化 传统 的 问题 ,如 果 让 中 国人 来 设计 的 话 , 可 能 就 会 把 这 两 项 给 颠倒 过 来 。 


4.5 ICMP 协议 


互联 网 的 运作 离 不 开 故 障 的 管理 ,ICMP(Internet Control Message Protocol, 互联 网 
控制 消息 协议 ) 设 计 用 来 处 理 网 络 设备 之 间 的 错误 ,报告 网 络 环境 中 错误 状态 的 发 生 , 但 是 
无 法 确保 能 把 消息 确实 送 达 或 是 转 回 发 送 地 。 

ICMP 的 一 个 应 用 是 Ping, 用 来 测试 机 器 之 间 的 连通 性 ,如 下 例 所 示 。 


C:\Users\ zhenchen> ping www.tsinghua.edu.cn 
正在 Ping www.d.tsinghua.edu.cn [2001:da8:200:200::4:100] 从 2001:da8:200:900e:2 
«9T s 


00:5efe:166.111.137.197 具有 32 字 节 的 数据 : 
来 自 2001:da8:200:200::4:100 的 回复 : 时 间 < 1ms 
来 自 2001:qa8:200:200::4:100 的 回复 : 时 间 < lms 
来 自 2001:da8:200:200: :4:100 的 回复 : 时 间 < lms 
来 自 2001:da8:200:200::4:100 的 回复 : ЊН] < lms 
2001:da8:200:200::4:100 的 Ping 统计 信息 : 

数据 包 : 已 发 送 =4, 已 接收 =4, 丢 失 =0 (0% EK), 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ): 

最 短 =Qms, 最 长 = Ons, FJ = Ons 


ICMP 的 另外 应 用 是 traceroute(UNIX 下 ) 和 tracert Windows 下 ), 如 下 面 的 tracert 
一 例 。 


C:\Users\zhenhen> tracert www.berkeley.edu 
通过 最 多 30 4 EK LER PE: 
到 www.w3.berkeley.edu [169.229.131.81] 的 路 由 : 


1 <1ms «1ms «1ms SECURITY [192.168.128.1] 

2 lms <1ms «1ms 166.111.137.1 

3 <1ms «1ms <lms tul28098.ip.tsinghua.edu.cn [166.111.128.98] 
4 lms <1ms «1ms u128101.ip.tsinghua.edu.c [166.111.128.101] 
5 lms lms «1ms th004133.ip.tsinghua.edu.cn [59.66.4.133] 

6 4ms 1ms 1ms 118.229.2.10 

i lms 1ms 1ms 118.229.2.14 

8 1 ms lms lm 118.229.2.2 

9 10 ms 1 ms 11 тѕ th002237.ip.tsinghua.edu.cn [59.66.2.237] 

10 11ms 11ms 10 ms pku0.cemet.net [202.112.38.73] 

11 11ms lims 1 тѕ 202.112.53.169 

12 3ms 3ms 3m 202.112.61.158 

13 12 ms 11ms llms 202.112.53.18 


14 100 ms 100 ms 100ms tpr5-ae0- 25.jp.apan.net [203.181.194.125] 
15 215 ms 214 ms 215ms losa- tokyo- tp2.transpac2.net [192.203.116.145] 
16 206 ms 205 ms 206ms  cenichpr- 1- 10- jmb- 702.1sanca.pacificwave.net 


[207.231.240.129] 
17 214 ms 213 ms 214m svl-hpr-- lax- hpr- 10ge.cenic.net [137.164.25.13] 
18 215ms 215ms 215ms oak-hpr-- svl- hpr- l0ge.cenic.net [137.164.25.9] 
19 217ms 215ms 216ms hpr- udo- ge-- oak- hpr.cenic.net [137.164.27.130] 
20 225 ms 225 ms 225ms t2-3.inr- 202- recoev.Berkeley.EDU [128.32.0.39] 
21 222ms 217ms 216ms tl-1.inr-21l- srb.Berkeley.EDU [128.32.255.43] 
= 216 ms 217 ms 216 ms webfam.Berkeley.EDU [169.229.131.81] 


4.6 应 用 协议 端口 Port 


IP 使 得 互联 网 上 的 任何 两 台 计 算 机 之 间 能 够 建立 尽力 而 为 的 通信 ,但 是 当 计算 机 上 的 
多 个 通信 程序 同时 使 用 网 络 时 ,还 需要 在 IP 上 设计 数据 传输 协议 ,并 引入 端口 的 概念 来 区 
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分 不 同 通信 应 用 程序 。 

IP 网 络 类 似 于 邮政 系统 ,如 在 信件 传递 的 基础 上 ,邮政 系统 又 推出 了 快件 .加 急 快件 服 
务 ( 如 EMS) . 平 信和 挂号 信 等 服务 。 类 比 于 互联 网 ,互联 网 的 TCP 和 UDP 就 是 在 普通 信 
件 服务 上 增加 的 这 些 专 用 的 服务 ,以 保证 不 同业 务 的 服务 要 求 。 

IP 之 上 的 数据 传输 协议 主要 包括 UDP 和 TCP。 应 用 程序 在 互相 通信 时 需要 选择 数据 
传输 协议 UDP 或 者 TCP, 以 及 相应 的 传输 端口 ,以 区 别 其 他 应 用 程序 ,如 图 4-7 所 示 。 


IMA 应 月 
视频 点 播 
Telnet VoD(Video on Demand) 

FTP Wen TFTP VolP audio 
使 用 不 同 的 端口 号 以 区 分 不 同 的 应 用 。| 使 用 不 同 的 端口 号 以 区 分 不 同 的 应 用 。 
端口 号 的 范围 是 0~65535 端口 号 的 范围 是 0~65535 
TCP UDP 
IGMP IP ICMP 
ARP RARP 
网 络 适 配器 


图 4-7 TCP/IP 协议 栈 


4.7 UDP 


讲究 传输 速度 且 允 许 一 点 数据 丢失 (Data Loss) 或 是 数据 包 丢 失 (Packet Loss) 的 常 
用 传输 协议 是 UDP(User Datagram Protocol). 。 例 如 GTalk, MSN, Skype, QQ 等 使 用 语音 
通信 的 应 用 程序 均 使 用 了 UDP。 

UDP 定义 于 КЕС 768, 提 供应 用 程序 能 够 在 最 低 的 协议 机 制 下 发 送 消 息 给 其 他 应 用 程 
序 , 但 不 保证 是 否 可 靠 或 有 没有 依照 传送 顺序 到 达 。 

UDP 数据 格式 如 图 4-8 所 示 。 

0 1516 31 
16 位 源 端 口号 | “16 位 目的 端口 号 
16 位 UDP 长 度 | 16 位 UDP 校 验 和 
数据 


图 4-8 UDP 数据 格式 


4.8 TCP 


IP 网 络 偶尔 存在 丢 包 的 情况 ,为 了 在 这 种 情况 下 还 能 有 效 保障 传输 的 质量 , 需 使 用 
TCP, 如 文件 传输 服务 。 例 如 ,从 FTP 服务 器 下 载 电 影 需 要 将 一 个 1GB 大 的 电影 文件 分 成 
很 多 网 包 在 网 络 上 传输 ,如 果 其 中 一 份 数据 丢失 将 导致 整个 文件 无 法 打开 (因为 校 验 不 通过 ) 。 
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为 了 解决 可 靠 传输 的 问题 ,TCP 的 基本 思想 是 为 每 次 通信 会 话 保留 状态 ,为 传输 的 每 
段 数 据 编号 ,通过 发 送 和 接收 端的 互相 通报 以 及 保存 的 状态 信息 来 确定 可 能 的 网 包 丢 失 情 
况 ,通过 重新 传输 丢弃 的 网 包 来 保证 可 靠 性 。 

TCP 提供 以 下 三 个 基本 功能 。 

A) 可 靠 性 (Reliability) : 克服 包 丢 失 现 象 ,传送 的 数据 依照 顺序 交 给 程序 。 

(2) 复 用 性 (Multiplexing) : 通过 不 同 的 端口 可 使 同一 个 IP 地 址 (一 台 计 算 机 ) 可 以 同 
时 提供 上 层 不 同 的 多 种 服务 ,如 FTP、Telnet.HTTP Web 服务 等 。 

(3) 流 控 (Flow Control 或 Congestion Avoidance and Control) ; 避免 网 络 或 接收 端 拥 
塞 ,以便 提 供 高 效率 的 传输 。 

TCP 的 会 话 叫做 连接 (Connection)  TCP 的 会 话 建立 需要 三 次 握手 ,如 图 4-9 所 示 ,会 
话 拆除 也 需要 握手 。 这 种 握手 协议 也 是 TCP SYN 攻击 的 原因 ,一 种 异常 的 TCP SYN Z 
洪 攻 击 如 图 4-10 所 示 。 


Client Server 
SYN 


客户 端 发 送 一 个 SYN 数 据 包 到 服务 器 的 特定 端口 要 求 同 步 服 务 


SYN/ACK 


如 果 服 务 器 能 够 提供 服务 ， 它 回应 一 个 SYN/ACK 包 
返回 给 客户 端 ， 并 等 待 客户 端的 响应 。 


ACK 


客户 端 发 送 一 个 对 服务 端的 ACK 数 据 包 后 可 开始 数据 传输 。 
TEM 


图 4-9 TCP 三 次 握手 


| 


- === == 等 待 至 超时 
("бова 
2 分 钟 ) 


e 


(a) 正常 的 三 次 握手 (b) 非 正常 的 三 次 握手 
410 一 种 异常 的 TCP SYN 泛 洪 攻 击 
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TCP 的 格式 如 图 4-11 所 示 。 


0 1516 3 
16 位 源 端口 号 16 位 目的 端口 号 
32 位 序列 号 
32 位 确认 序号 
U|A!P|R|S|F 
数据 保留 |IRICISIS|IYI|I 16 位 窗口 尺寸 
偏 移 GIKIHITININ 
16 位 校 验 和 16 位 紧急 指针 
选项 填充 位 
数据 


图 4-11 TCP 的 格式 


4.9 以 太 网 


1. AW Ethernet) 简介 

以 太 网 是 使 用 最 广泛 的 局 域 网 类 型 。10M/100M 以 太 网 采用 共享 网 络 介质 ,属于 共享 
带宽 ; 吉 比 特 以 太 网 (Gigabit Ethernet) 采用 交换 网 络 方式 ,属于 独 享 型 带宽 。 

2. 以 太 网 协议 

以 太 网 协议 见 КЕС 894 ,以 太 网 协议 帧 格式 如 图 4-12 所 示 。 


IEEE 802.2/802.3 (RFC 1042) 


= 
802.3MAC 802.2LLC | 802.25МАР J 
目的 MAC | 源 MAC | Len | DSAP|SSAP|Control| Org Code [Ether Type| Рауіоай CRC 
6 6 2 11 1 1 3 2 38-1492 | а 
l l 
1 l 
l 1 
| | 
Ethernet (RFC 894) I I 
Eth 
目的 MAC | 源 MAC Type Payload CRC 
6 6 2 38-1492 4 
图 4-12 以 太 网 协议 帧 格式 
3. 5 类 以 太 网 络 线 2,6 


以 太 网 网 线 为 10Base-T 及 100Base- sega, vig. AE SD E. RE. a RR. EE 
T.fEJH 8 45 CA 对 线 ) 的 无 遮蔽 双 绞 线 seen. м qnl on He d D dE HR X e й 
(Unshielded Twisted Pair. UTP) 2. A5 

接头 为 RJ-45, 接 法 有 平行 接 法 和 串 接 接 

法 ,具体 连接 关系 如 图 4-13 所 示 。 


图 4-13 以 太 网 RJ-45 接口 走 线 
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第 5 章 安全 威胁 


计算 机 安全 威胁 主要 有 黑客 攻击 (Hacking) 、 网 络 欺诈 (Phishing) 、 计 算 机 恶意 代码 、 机 器 
人 网 络 等 内 容 。 计 算 机 网 络 安全 防范 有 杀毒 软件 防火墙 等 技术 ,下 面 分 别 介绍 这 些 内 容 。 


5.1 黑客 攻击 


黑客 攻击 是 以 获取 计算 机 控制 权 为 目的 的 网 络 攻 击 。 整 个 过 程 犹如 特种 部 队 作 战 , 因 
此 有 虚假 的 成 就 感 。 如 目标 信息 采集 ,锁定 目标 ,目标 攻击 ,隐匿 善后 等 。 在 目标 信息 的 采 
集 上 ,一 般 通 过 对 网 络 和 主机 进行 探测 获取 信息 ,或 者 由 外 入 内 ,通过 社会 工程 等 方法 获取 
信息 。 一 旦 锁定 目标 之 后 , 即 用 各 种 安全 工具 (如 Metaploit 等 ), 或 者 特洛伊 木马 ,病毒 和 
蠕虫 等 ,利用 各 种 漏洞 ,如 邮件 服务 .文件 服务 和 网 页 服务 等 安全 漏洞 ,获取 目标 的 一 定 权限 
然后 再 通过 本 地 用 户 攻击 等 提升 权限 。 入 侵 成 功 之 后 ,隐藏 后 门 , 销 毁 痕 迹 , 或 者 植 人 内 核 
Rootkit ,以 便 以 后 进一步 利用 。 

由 于 黑客 攻击 都 比较 隐秘 ,需要 专门 的 安全 流量 审计 来 进行 辅助 分 析 ,我 们 所 研究 的 协 
同 式 网 络 安全 防御 系统 , 旨 在 通过 分 布 式 部 署 流量 探 针 设备 来 发 现 可 能 的 黑客 攻击 。 


5.2 |] £ Hk W: 


网 络 欺诈 或 称 为 钓鱼 攻击 (Phishing Attack) ,是 一 种 盗 取 用 户 银 行 或 者 电子 商务 账户 
的 攻击 方法 ,主要 是 通过 构建 假冒 的 网 页 或 者 网 站 ,通过 垃圾 邮件 的 散播 ,来 吸引 用 户 上 当 ， 
比如 声称 用 户 的 账户 密码 不 安全 ,需要 重新 修改 ,或 者 中 奖 信息 ,吸引 用 户 点 击 。 

网 络 欺诈 流程 图 如 图 5-1 所 示 。 


Phisher i i 
| | 
1 1 15 
ot 用 户 向 假冒 站 点 

|o] 站 点 | | 提交 个 人 资料 
1 1 
1 
信用 卡 信息 | ! 
E-mail 地 址 等 1 1 
1 l 

2 1 | 4 

1 1 
fi 1 
1 
| I 
1 1 
1 
1 


3b | “用户 阅读 诱饵 


制作 并 | 3a 1 | 垃圾 邮件 
送 垃圾 邮件 。 1 信息 ， 并 且 单 击 
发 送 诱饵 | 服务 器 1 Mus 
1 1 
犯罪 分 子 | 网 络 i 受害 用 户 
图 5-1 网 络 欺诈 
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网 络 欺诈 目前 已 经 形成 了 一 条 地 下 经 济 链条 ,如 图 5-2 所 示 。 因 此 各 种 攻击 方法 和 手 
段 日 益 纯 熟 。 在 这 条 经 济 链条 上 ,有 着 不 同 的 分 工 , 如 构建 假冒 的 网 页 或 者 网 站 ,制作 机 器 
人 软件 ,控制 机 器 人 网 络 ,控制 垃圾 邮件 的 散播 ,每 一 个 环节 将 都 从 最 终 用 户 的 损失 中 获得 
利益 报酬 。 


Phishing |__| Phishing А 信用 卡 等 | .| RẸ 
IBN 工具 开发 者 £ 销赃 团体 变现 
-— 垃圾 邮件 垃圾 邮件 
Bonet jH 9 技术 和 КЄ “技术 和 
= 服务 器 提供 者 服务 器 


v4 


被 入 侵 的 
银行 /商家 等 
的 Web 服 务 器 


图 5-2 网 络 欺诈 的 经 济 链条 


5.3 计算 机 恶意 代码 


中 华人 民 共 和 国 公 安 部 第 51 号 令 4 计 算 机 病毒 防治 管理 办 法 》 于 2000 年 4 月 26 日 颁 
布 ,其 中 计算 机 病毒 (Virus) 定 义 为 : 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 
计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 
代码 。 

更 广义 一 些 , 计 算 机 恶意 代码 (Malware) 是 指 一 个 插入 到 系统 中 的 程序 (通常 会 故意 隐 
FEE) ,意图 破坏 受害 人 的 数据 ,应 用 程序 或 操作 系统 的 完整 性 .保密 性 和 可 用 性 ,干扰 或 中 断 
用 户 的 正常 使 用 。 

COD 特洛伊 木马 是 一 种 不 能 自我 复制 的 程序 ,看 似 无 害 , 实 际 上 具有 隐藏 的 恶意 目的 。 

(2) 蠕虫 病毒 是 完全 自 包含 . 自 复制 的 一 段 程序 ,不 需要 宿主 程序 就 可 以 感染 目标 
对 象 。 

(3) 移动 代码 是 从 远程 系统 传输 到 本 地 执行 的 软件 ,一 般 不 需要 用 户 的 明确 指令 。 移 
动 代码 不 感染 文件 ,也 不 会 自我 复制 ,所 以 从 根本 上 有 别 于 蠕虫 病毒 。 不 同 于 蠕虫 病毒 会 利 
用 特定 的 系统 漏洞 ,移动 代码 常常 利用 赋予 其 自身 的 系统 默认 特权 来 感染 系统 。 

(4) 间谍 软件 是 一 种 未 经 许可 或 用 户 知晓 在 系统 后 台 穷 听 用 户 网 络 使 用 状况 ,并 且 收 
集 或 回 传 用 户 信息 和 用 户 行为 信息 的 应 用 程序 。 

1. 特洛伊 木马 

在 神话 中 ,表面 上 特洛伊 木马 是 “礼物 ”. 实 际 上 却 是 藏匿 袭击 特洛伊 城 的 希腊 士兵 。 
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现在 ,特洛伊 木马 是 一 些 表面 有 用 的 软件 程序 ,实际 目的 是 危害 并 破坏 计算 机 安全 。 

木马 实质 是 一 个 Client/ Server 程序 ,以 远程 访问 控制 受害 机 器 ,获取 控制 权 和 密码 ,以 
进行 其 他 操作 为 目的 ,如 冰河 木马 。 

作为 不 合法 的 网 络 服务 程序 ,木马 必须 隐藏 自己 。 

木马 的 传播 方式 一 般 为 非 主 动 传播 , 属 种 植 型 。 最 近 的 特洛伊 木马 都 以 电子 邮件 的 形 
式 传播 。 

2. 蠕虫 病毒 

蠕虫 病毒 可 自动 完成 复制 过 程 ,控制 计算 机 中 传输 文件 或 信息 的 功能 ,一 旦 计算 机 感染 
蠕虫 病毒 ,蠕虫 即 可 独自 传播 ,并 大 量 复 制 。 

蠕虫 病毒 传播 的 特点 是 依靠 网 络 主动 传输 ,攻击 受害 机 器 ,传播 迅速 ,消耗 极 大 的 网 络 
和 计算 资源 。 

一 个 典型 攻击 DNS BIND 服务 器 的 蠕虫 Lion, 利 用 Bind 程序 的 缓存 溢出 作为 突破 口 ， 
攻击 Bind 服务 器 ,控制 Bind 服务 器 利用 НТТР 协议 下 载 病 毒 体 ,确定 B Br IP 地 址 作为 攻 
击 对 象 , 进 行 传播 。 蠕 虫 病 毒 形象 示意 图 如 图 5-3 所 示 。 


B 类 IP 地 址 DNS 


НТТР 


绑 定 
缓冲 区 溢出 
传播 引擎 || 目标 选择 算法 


图 5-3 蠕虫 病毒 形象 示意 图 


Rootkit 
Ls, du, find, 
netstat, ifconfig, 
top, ps, telnetd, 
fingerd, sshd, 
shell 
有 效 载荷 


最 为 普遍 的 是 红 码 病毒 (CodeRed) , 它 具 有 多 个 不 同 版 本 ,主要 攻击 Windows XP IIS 
系统 漏洞 ,曾经 风靡 校园 网 络 。 

绝 大 多 数 蠕虫 病毒 主要 是 利用 软件 漏洞 发 布 到 漏洞 补丁 更 新 发 布 的 时 间 差 ,从 目前 看 ， 
从 软件 漏洞 发 布 到 利用 该 漏洞 的 蠕虫 出 现 的 时 间 越 来 越 多 ,近乎 零 日 攻击 (0day)。 零 日 现 
象 -软件 漏洞 公布 日 及 其 利用 的 病毒 的 时 延 如 图 5-4 所 示 。 


Code Red 一 06/01 
Digispid 一 03/02 
SQL Slammer 一 07/02 
Slapper 一 07/02 
Blaster—07/03 
Witty—03/04 
Sasser—04/04 
Zotob—08/05 
Olympics 一 01/08 |0 

0 100 200 

图 5-4 零 日 现象 -软件 漏洞 公布 日 及 其 利用 的 病毒 的 时 延 
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3. 恶意 代码 防范 
恶意 代码 防范 要 参考 传染 病 的 防范 模式 ,如 图 5-5 所 示 。 


防治 原则 : 防治 措施 : 


(1) 控制 传染 源 。 (D 预防 为 主 ， 防 治 结合 。 
(2) 切断 传播 途径 。 (2) 综合 措施 ， 群 防 群 治 。 
(3) 保护 易 感人 群 。 (3) 加 强 监测 ， 制 止 疫情 。 


图 5-5 ”参考 传染 病 防治 的 计算 机 病毒 防范 


5.4 BLA AWA 


Bot 程序 是 一 种 恶意 代码 ,能 够 创建 后 门 程序 ,创建 代理 程序 ,转发 邮件 ,记录 键盘 输 
入 ,获取 口令 、 信 用 卡号 码 及 其 他 信息 ,个 别 还 能 停止 个 人 防火 墙 .杀毒 软件 等 安全 软件 。 
Bot 程序 一 般 会 加 壳 保 护 ,自动 升级 到 新 版 本 。 

HLA Bot 程序 的 计算 机 ,在 用 户 不 知情 的 情况 下 已 经 被 黑客 控制 ,俗称 "肉鸡 ”。 黑 客 一 
般 通 过 IRC 服务 器 发 布控 制 命令 操纵 Bot 计算 机 ,利用 Bot 计算 机 完成 很 多 操作 ,比如 攻 
击 传播 Bot 程序 。 利 用 Bot 进行 时 段 出 租 ,散发 垃圾 邮件 ,或 者 进行 DDoS 攻击 等 。 目 前 发 
现 的 机 器 人 网 络 (Botnet) 规 模 最 大 可 达 数 十 万 台 机 器 。 

机 器 人 网 络 发 动 DDoS 攻击 示意 图 如 图 5-6 所 示 。 


图 5-6 机 器 人 网 络 发 动 DDoS 攻击 示意 图 
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5.5 拒绝 服务 攻击 


DoS 是 拒绝 服务 (Denial of Service) 的 简称 ,造成 DoS 的 攻击 行为 被 称 为 DoS 攻击 ,其 
目的 是 使 计算 机 或 网 络 无 法 提供 正常 的 服务 。 

常见 的 DoS 攻击 如 下 。 

1. 网 络 带 宽 攻击 

网 络 带宽 攻击 指 以 极 大 的 通信 量 冲击 网 络 ,使 得 可 用 网 络 资源 都 被 消耗 列 尽 ,最 后 导致 
合法 用 户 无 法 访问 网 络 资源 。 

2. 连通 性 攻击 

连通 性 攻击 指 用 大 量 连 接 请 求 冲 击 服务 器 ,使 得 所 有 可 用 的 操作 系统 资源 都 被 消耗 至 
尽 , 最 终 使 服务 器 无 法 再 处 理 合法 用 户 请 求 。 


5.6 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 (Distributed Denial of Service. DDoS) 攻击 指 借 助 于 客户 /服务 器 技 
A ,将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提 
高 拒绝 服务 攻击 的 威力 。 

CD 攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程 序 安装 在 一 个 计算 机 上 。 

(2) 攻击 者 秘密 安装 代理 程序 到 Internet 的 大 量 计 算 机 上 ,代理 程序 能 都 对 目标 机 器 
发 动 DoS 攻击 。 

(3) 利用 客户 /服务 器 技术 , 主 控 程 序 几乎 同时 激活 运行 成 百 上 千 的 主机 上 的 代理 程 
Fr ,控制 代 理 程序 对 一 个 或 多 个 目标 发 动 DoS 攻击 。 


5.7 杀毒 软件 


杀毒 软件 主要 有 Symantec, Mcafee, NOD32, Карегѕкеу 等 。 

杀毒 软件 最 核心 的 内 容 是 获取 恶意 代码 的 特征 (Signature) ,恶意 代码 样本 的 收集 是 产 
生 用 户 端 杀毒 软件 的 基本 手段 。 

杀毒 软件 公司 通过 全 球 部 署 蜜 钢 网 络 来 捕捉 恶意 代码 ,收集 杀毒 软件 从 用 户 端 上 传 的 
恶意 代码 等 ,进行 分 析 , 从 而 提取 特征 。 杀 毒 软件 公司 病毒 特征 库 的 制作 流程 如 图 5-7 
所 示 。 

在 分 析 生 成 特征 之 后 ,生成 病毒 更 新 包 , 下 载 应 用 到 用 户 的 杀毒 软件 的 扫描 引擎 中 。 所 
以 病毒 特征 的 更 新 对 于 杀毒 软件 的 防护 能 力 非常 重要 。 杀 毒 软 件 公司 病毒 特征 更 新 流程 如 
图 5-8 所 示 。 
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图 5-7 杀毒 软件 公司 病毒 特征 库 制作 流程 


和 发 布 描述 存档 


图 5-8 杀毒 软件 公司 病毒 特征 更 新 流程 


5.8 by X Hh 


通俗 地 讲 ,防火 墙 是 介 于 其 他 网 络 和 防火 墙 所 保护 的 网 络 之 间 的 中 界 点 ,控制 保护 网 络 
和 其 他 网 络 之 间 的 数据 包 交 换 的 网 络 设备 。 
严格 地 讲 ,IETF RFC 2979 定义 了 防火 墙 的 行为 和 需求 (Behavior and Requirement)， 
sb ж 


基于 以 上 规范 的 软件 或 是 硬件 , 称 为 防火 墙 。 防 火 墙 能 够 防止 未 经 允许 的 连接 进入 由 防火 
墙 所 保护 的 网 络 ,防火 墙 提 供 了 穿 透 (Transparency) 的 功能 ,并 提供 了 限制 穿 透 的 功能 。 防 
火 墙 的 基本 原理 如 图 5-9 所 示 。 
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图 5-9 防火 墙 的 基本 原理 


性 能 较 好 的 是 基于 硬件 的 防火 墙 ,如 NetScreen 系列 。 
目前 个 人 防火 墙 也 日 益 普 遍 , 如 Windows А 17 jj «i , Norton Internet Security 、 瑞 星 
个 人 防火 墙 等 。 


5.9 人 侵 检测 系统 


1. Snort 

Snort 最 初 由 Martin Roesch 开发 ,是 目前 使 用 最 广 的 开源 人 侵 检测 系统 项 目 ,规则 集 
比较 丰富 。 很 多 商业 的 入侵 检测 系统 也 采用 Snort 系统 。 

2. Bro 

Bro 入侵 检测 系统 是 加 州 大 学 Berkeley 分 校 的 Vern Paxson 教授 开发 的 入 侵 检测 系 
统 ,是 目前 学 术 味 比较 纯 的 系统 ,详细 信息 访问 www. bro-ids. org。 

3. pfense 

基于 Free BSD 的 流量 管理 控制 软件 。 


5.10 ШИ] 
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务 器 。 

加 州 大 学 Berkeley 分 校 的 Vern Paxson 教授 组 建 的 GQ 蠕虫 分 析 系 统 , 就 是 一 个 类 似 
蜜 饶 网 络 分 析 系 统 ,通过 从 互联 网 采集 目的 地 址 无 应 答 的 流量 (疑似 蠕虫 流量 ) ,将 该 流量 重 


放 (Replay) 到 蜜 钠 网 络 系统 ,观察 其 流量 引发 的 连锁 反应 ,以 确定 是 否 为 蠕虫 流量 。GQ Ni 
cae š 


虫 分 析 系 统 如 图 5-10 所 示 。 


物理 蜜 缸 组 服务 器 
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图 5-10 GQ 蠕虫 分 析 系 统 


其 他 蜜 钠 网 络 ,如 北京 大 学 的 狩猎 女神 项 目 也 很 受 关注 。 
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第 6 章 互联 网 安全 影视 


6.1 "m 客 


“黑客 ”一 词 是 由 英语 Hacker 音译 而 来 ,原意 是 指 用 答 头 砍 柴 的 工人 ,最 早 被 引进 计算 
机 圈 则 可 追溯 自 20 世纪 60 年 代 。 最 初 的 黑客 一 般 都 是 一 些 高 级 的 技术 人 员 , 他 们 热衷 于 
挑战 .崇尚 自由 并 主张 信息 的 共享 ,他们 精通 各 种 编程 语言 和 各 类 操作 系统 ,伴随 着 计算 机 
和 网 络 的 发 展 而 成 长 。 黑 客 所 做 的 不 是 恶意 破坏 ,在 黑客 圈 中 , Hacker 一 词 是 误 义 的 。 但 
在 媒体 报道 中 ,黑客 一 词 往往 指 那些 “软件 骇 客 ”(Software Cracker)。 到 了 今天 ,黑客 一 词 
已 被 用 于 泛 指 那些 专门 利用 计算 机 网 络 搞 破 坏 或 恶作剧 的 人 。 对 这 些 人 的 正确 英文 叫 法 是 
Cracker, 有 人 翻译 成 “ 骇 客 ”, 很 多 人 将 黑客 与 骇 客 化 为 一 类 ,实际 为 错误 区 分 “黑客 "与 
“ 骇 客 "是 分 属 两 个 不 同 世 界 的 族群 ,基本 差异 在 于 ,黑客 是 有 建设 性 的 ,而 骇 客 则 专门 搞 
破坏 。 

《黑客 》(1995 年 ) 电 影 描述 的 是 正义 者 对 抗 邪 恶 者 的 故事 ,是 很 早 的 关于 黑客 的 电影 。 

电影 中 ,Dade 是 一 名 计算 机 怪 杰 ,他 在 11 27 JE4E И Y FBI 的 机 密 档案 ,被 政府 当局 
下 令 禁 止 再 接触 计算 机 。 而 另 一 边 的 Kate, 也 是 一 名 上 网 高 手 , 通 过 计算 机 二 人 不 时 展开 
XFAS ,比试 高 低 。 他 们 因 出 色 的 技术 而 被 卷 进 一 家 国际 夺 网 阴谋 中 。 受 聘 于 大 集团 的 首脑 
Eugene, 利 用 工作 关系 上 网 ,并 向 大 财团 要 挟 金 钱 ,否则 便 破 坏 其 计算 机 程序 ,使 六 条 大 油 
轮 爆炸 。 就 在 千钧一发 之 际 ,Dade 与 Kate 联手 夺 网 成 功 , 避 免 了 一 场 大 灾难 。 


6.2 Bi X ОҢ 


防火 墙 (Firewall) 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 .在 内 部 网 和 外 部 网 之 间 、 专 
用 网 与 公共 网 之 间 的 界面 上 构造 的 保护 屏障 。 防 火 墙 是 一 种 获取 安全 性 方法 的 形象 说 法 ， 
它 是 一 种 计算 机 硬件 和 软件 的 结合 ,使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 , 从 而 
保护 内 部 网 免 受 非 法 用 户 的 侵入 。 计 算 机 流入 流出 的 所 有 网 络 通 信和 数据 包 均 要 经 过 防火 
墙 。 防火 墙 实 际 上 是 一 种 隔离 技术 。 它 允许 你 “同意 ”的 人 和 数据 进入 人 们 的 网 络 ,同时 将 
人 们 “不 同意 ”的 人 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 网 络 中 的 黑客 来 访问 人 们 的 网 络 。 

最 危险 的 地 方 就 是 最 安全 的 地 方 。 反 之 则 有 :最 安全 的 地 方 就 是 最 危险 的 地 方 。 类 似 
地 有 :最 安全 的 人 就 是 最 危险 的 人 。 所 有 安全 因素 中 ,最 脆弱 的 因素 就 是 人 , 当 人 作为 安全 
规则 的 一 环 被 突破 时 ,防火 墙 也 就 变 成 了 放火 墙 。 

«Bi 3 » (2006 年 ) 由 哈里 森 。 福特 主演 ,其 讲述 了 一 位 银行 金融 信息 主管 与 犯罪 分 子 
进行 斗争 的 情节 。 

年 过 中 旬 的 杰克 ，。 斯坦福 (哈里 森 。 福特 饰 ) 是 位 于 美国 西雅图 市 太平 洋 银行 的 网 络 安 
全 高 级 主管 ,他 凭借 其 主持 设计 的 高 科技 防火 墙 软件 而 备 受 高 层 的 重视 ,也 因此 杰克 与 妻子 
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儿女 过 着 养 尊 处 优 的 幸福 生活 。 然 而 ,他 的 重要 性 也 同样 引起 了 不 法 之 徒 的 注意 。 丸 徒 比 
尔 。 考 克 斯 是 个 高 智商 的 罪犯 ,他 和 他 的 团伙 用 一 年 的 时 间 研 究 斯 坦 福 一 家 的 作息 习惯 和 
相关 资料 。 在 一 切 准 备 充分 后 ,比尔 绑架 了 杰克 的 家 人 ,并 胁迫 杰克 破解 太平 洋 银行 的 防 资 
系统 ,从 而 盗 出 一 亿美 元 现金 。 顾 及 妻 儿 的 性 命 ,杰克 违心 答应 了 比尔 的 要 求 ,与 此 同时 他 
也 和 这 个 狭 独 的 家 伙 展 开 了 斗智 斗 勇 的 对 决 。 


6.3 黑客 帝国 


《黑客 帝国 》(1999 年 ) 由 基 努 。 里 维 斯 主演 ,本 质 上 讲 的 是 新 型 智能 生命 进化 的 过 程 。 

不 远 的 未 来 ,智能 机 器 和 人 类 爆发 了 大 战 ,机 器 的 智能 使 得 它们 利用 现 有 科学 技术 的 能 
力 极 其 强大 ,从 而 将 人 类 击败 。 但 是 它们 的 创新 能 力 严 重 匮乏 ,无 法 提出 更 高 级 的 理论 。 

机 器 智能 的 思维 严格 遵循 逻辑 运算 ,对 无 用 的 程序 ,一 律 删除 。 这 种 模式 严重 阻碍 了 理 
论 创新 能 力 的 发 展 。 但 放任 无 目的 程序 存在 和 泛滥 ,可 能 会 导致 无 法 预料 的 毁灭 性 结果 。 
机 器 智能 文明 处 于 两 难 境地 ,严格 执行 无 用 程序 删除 的 原则 ,会 令 文明 永远 只 能 在 一 个 水 平 
上 重复 ,而 不 会 出 现 革命 性 的 进步 。 而 不 严格 执行 该 原则 , 则 整个 机 器 文明 的 生存 都 有 可 能 
受到 威胁 。 

出 于 以 上 原因 ,机 器 文明 设立 矩阵 系统 尝试 解决 这 个 问题 。 利 用 人 类 在 矩阵 系统 中 产 
生 的 创新 思维 ,为 机 器 的 进一步 发 展 提供 思想 动力 。 机 器 文明 认为 如 果 系 统 运行 顺利 ,就 可 
以 一 直 利用 人 类 的 思维 ,和 否则 就 采取 矩阵 升级 的 战略 ,通过 和 矩阵 革命 ,产生 一 个 能 够 自主 创 
新 的 矩阵 系统 ,从 而 彻底 摆脱 对 人 类 的 依靠 。 在 这 个 大 背景 下 ,主人公 尼 奥 的 选择 将 决定 人 
类 和 机 器 的 未 来 。 

该 片 中 有 大 量 的 创意 点 可 以 和 现 有 的 计算 机 与 网 络 技术 相对 应 ,通过 该 片 可 以 大 大 增 
进 互联 网 安全 课程 的 趣味 性 。 


6.4 操作 系统 革命 


《操作 系统 革命 )(2001 年 ) 是 一 部 由 J.T. S， 摩尔 (J. Т. 5. Moore) ЙА. 
片 追 述 了 GNU、Linux、 自 由 软件 运动 以 及 开放 源 代码 运动 长 达 20 余年 的 历史 。 在 微软 公 
司 垄 断 下 有 一 件 东 西 永远 不 会 给 你 真正 的 自由 。 也 正 是 因为 这 个 原因 ,不 少 先 锋 人 物 站 出 
来 反抗 微软 帝国 ,并 努力 建立 一 种 新 的 操作 系统 一 一 没有 人 为 的 限制 ,任何 人 都 可 以 自由 地 
使 用 . 《操作 系统 革命 ) 向 公众 介绍 这 些 建立 Linux 操作 系统 ,奋起 反抗 垄断 的 斗士 的 人 生 
经 历 。 现 在 微软 公司 已 经 明显 感到 了 来 自 Linux 的 压力 。 微 软 公司 的 首席 执行 官 曾 公开 表 
示 :“Linux 是 一 种 癌症 1” 但 这 丝毫 不 能 影响 Linux 发 展 的 步伐 。《 操 作 系 统 革命 ) 访 谈 了 
Richard Stallman 这 位 自由 软件 基金 会 的 创始 人 、 自 由 软件 运动 的 发 起 者 ,GNU Emacs 等 
软件 的 作者 ;开源 运动 的 先驱 Eric Raymond,《 大 教堂 与 集 市 ) (Cathedral and Bazaar) 的 作 
者 ;Linus Torvalds, 这 位 Linux 内 核 的 最 初 作者 ,以 及 Open Source 开源 项 目的 由 来 和 
Linux OS 的 商业 运作 等 。 
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下 面 就 人 们 感 兴趣 的 问题 进行 解答 ,以 提高 交互 性 。 

1. 如 何 保证 个 人 计算 机 的 健康 性 ? 

千 万 注意 从 网 络 上 随便 下 载 软件 的 风险 。 因 为 这 些 软件 的 可 信 性 不 能 验证 ,很 可 能 其 
中 被 植 人 了 木马 或 者 病毒 。 原 来 流行 很 广 的 一 键 安 装 的 软件 版 本 都 曾 爆 出 其 中 存在 后 门 。 

建议 采用 正版 软件 。 从 比较 可 靠 的 软件 源 去 下 载 软件 ,如 清华 大 学 电子 系 FTP、 清 华 
大 学 自动 化 系 FTP 等 。 

在 当前 的 网 络 环境 下 ,杀毒 软件 ,个 人 防火 墙 等 软件 工具 不 可 缺少 ,病毒 库 需 经 常 更 新 ; 
关键 的 系统 补丁 和 应 用 程序 补丁 也 要 经 常 更 新 。 这 是 当前 互联 网 安全 防御 的 无 奈 之 举 。 

另外 ,也 可 以 选择 开源 免费 的 Linux 操作 系统 ,但 需要 相关 的 知识 。 推 荐 使 用 Ubuntu 
软件 ,只 要 在 网 上 注册 ,就 能 收 到 最 新 的 Ubuntu Linux 安装 光盘 。 校 内 也 有 不 少 Linux 软 
件 源 可 以 用 。 

2. 如 何 建立 网 络 空间 的 信任 ? 

信任 (Trust) 是 整个 社会 正常 运行 的 基本 社会 关系 ,按照 一 般 定义 : 一 个 事物 是 可 信 
的 ,意味 着 其 身份 (Identity) 是 可 确定 的 ,其 行为 [Behavior) 是 可 预期 的 。 

信任 在 电子 世界 网 络 情景 下 依然 适用 ,在 网 络 空间 中 信任 关系 的 载体 ,信任 关系 的 建 
ML ,确认 , 维 护 , 传 递 和 终止 等 过 程 ,是 通过 公 钥 基础 框架 (Public Key Infrastructure, PKI) 
和 数字 证 书 等 技术 来 实现 的 。 

PKI 采 用 类 似 公安 局 颁发 公民 身份 证 的 方法 ,在 网 络 中 的 对 应 物 是 数字 证 书 (Digital 
Certificate) 。 简 单 地 说 ,数字 证 书 是 权威 机 构 CA 颁发 给 个 体 用 户 的 ,个 体 用 户 之 间 用 来 辩 
识 身份 的 证 明 。 在 网 络 上 通过 交互 ,验证 数字 证 书 , 可 以 在 一 定 程 度 上 保证 交互 双方 的 可 
信 性 。 

典型 的 一 份 X. 509 数字 证 书 THUCA CE Info 门户 中 使 用 ) 可 以 用 如 下 方法 打开 。 打 
JF IE 9 浏览 器 ,进行 如 下 操作 : 

单 击 “工具 ”Internet 选项 ”一 “内容” 一 “数字 证 书 ”。 

颁发 数字 证 书 的 权威 机 构 CA 是 PKI 框架 的 核心 ,权威 机 构 CA 之 间 的 一 种 等 级 结构 
就 是 РКІ 集中 式 信任 体系 模型 ,如 图 6-1 所 示 。 

3. 可 信 计 算 能 够 创建 可 信 的 网 络 空间 吗 ? 

可 信 计 算 (Trusted Computing) 通 过 TPM 技术 ,能够 增强 计算 平台 的 可 信人 性。 

CD 可 信 计 算 平 台 TP 应 该 采用 内 内 的 硬件 化 的 密码 模块 确保 身份 与 根 信 任 , 类 似 于 
手机 终端 的 SIM + ,能 够 唯一 标识 每 个 计算 平台 。 基 于 硬件 密码 模块 的 方案 比 软件 方案 更 
安全 。 

(2) 可 信 计 算 平 台 TP 从 系统 启动 开始 进行 硬件 与 软件 的 验证 。 

(3) 可 信 计 算 平台 通过 平台 身份 认证 来 向 交互 方 证 明 自 己 的 可 信人 性 。 

采用 PKI 框架 ,采用 信任 状 或 证 书 (Credential & Certificate) 来 保证 交互 双方 的 身份 和 
平台 的 安全 性 。 

但 是 ,可 信 计 算 也 存在 着 很 多 问题 。 
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图 6-1 PKI 框 架 可 信 性 认证 体系 


常用 可 信 计 算 应 用 有 Microsoft 的 BitLocker 文件 加 密 系统 。 目 前 绝 大 多 数 笔记 本 都 
安装 了 TPM 芯片 ,如 果 要 使 用 只 要 在 BIOS 中 启用 Security Chip 就 可 以 了 。 

4. 网 络 银行 安全 吗 ? 

网 络 银行 存在 着 安全 风险 。 当 前 网 络 银行 有 几 种 手段 来 保证 安全 ,例如 ,数字 证 书 、U 
Jf USB Key, 动 态 口 令 、 手 机 提醒 等 手段 。 目 前 国内 网 络 银行 的 用 户 界面 多 采用 在 ТЕ 浏览 
fe PKA ActiveX 控件 或 者 采用 客户 端 软件 的 方式 ,因此 在 键盘 输入 和 客户 端 软件 之 间 可 
能 挂 上 钓 子 (Hook) ,导致 密码 被 盗 , 即 使 采用 鼠标 键盘 的 方式 ,也 不 可 能 完全 避免 。 此 外 ， 
ТЕ 浏览 器 之 间 的 窗口 存在 着 安全 隐患 ,运行 在 其 中 一 个 ТЕ 窗口 的 恶意 软件 有 可 能 获取 其 
他 TE 窗口 的 内 容 信息 。 

可 信 计 算 采用 平台 验证 的 方式 ,保证 平台 上 运行 的 软件 不 被 非法 算 改 , 且 将 密 钥 存 放 在 
硬件 中 ( 同 U 盾 的 方法 ) ,一 定 程度 上 提高 了 攻击 者 的 攻击 门槛 。 

最 简单 的 保证 平台 健康 性 的 方法 是 进行 网 银 的 业务 操作 的 机 器 尽量 不 要 用 来 玩 游戏 或 
者 他 用 ,在 一 定 程度 上 可 以 保障 安全 。 

5. 802. 1x 端口 认证 是 什么 ? 

802. 1x 就 是 IEEE 为 了 解决 基于 端口 的 接 入 控制 而 定义 的 一 个 标准 。802. 1x 首先 是 
一 个 认证 协议 , 即 一 种 对 用 户 进 行 认证 的 方法 和 策略 。 它 是 对 端口 进行 控制 的 。 这 里 的 端 
口 可 以 是 实际 的 物理 端口 也 可 以 是 虚拟 的 VLAN 端口 。“ 基 于 端口 的 网 络 接 入 控制 "是 指 
在 局 域 网 接 入 设备 的 端口 这 一 级 对 所 接 入 的 设备 进行 认证 和 控制 。 连 接 在 端口 上 的 用 户 设 
备 如 果 能 通过 认证 ,就 可 以 访问 局 域 网 中 的 资源 ;如 果 不 能 通过 认证 , 则 无 法 访问 局 域 网 中 
的 资源 。 

802. 1x 体系 结构 如 图 6-2 所 示 , 它 包括 三 个 实体 : 客户 端 .设备 端 和 认证 服务 器 。 客 户 
端 一 般 是 指 网 络 终端 ,是 需要 接 入 网 络 的 设备 ,客户 端 需要 支持 EAPOL (Extensible 
Authentication Protocol over LAN, 局 域 网 上 的 可 扩展 认证 协议 ) 协 议 , 需 要 运行 802. 1x 客 
户 端 软件 ,图 中 PAE(Port Access Entity ,端口 访问 实体 ) 是 认证 机 制 中 负责 执行 算法 和 协 
议 操作 的 实体 。 设 备 端 通常 为 支持 802. 1x 协议 的 网 络 设 备 ( 如 H3C 系列 交换 机 、 思 科 
Aironet 系列 无 线 接 人 点 ) , 它 为 客户 端 提 供 接 人 局 域 网 的 端口 。 认 证 服务 器 是 为 设备 端 提 
供认 证 服务 的 实体 ,用 于 实现 用 户 的 认证 .授权 和 计 费 ,通常 为 RADIUS 服务 器 。 

37-5 


m 
T 
ЕН 


有 线 /无 线 局 域 网 
图 6-2 SEF 802. 1x 的 网 络 接 入 原理 


6. 在 网 络 上 人 们 之 间 的 通信 安全 吗 ? 

答案 是 没有 绝对 安全 。 如 何 提高 通信 安全 ,可 以 采用 以 下 方法 : 如 私有 的 通信 协议 ( 增 
加 分 析 成 本 ) ,构架 私有 的 服务 器 (提高 追踪 的 难度 ) ,对 通信 进行 高 强度 的 加 密 和 扰动 (产生 
很 多 无 用 的 数据 和 强加 密 数据 ) 。 

7. 能 对 所 有 的 通信 进行 监控 吗 ? 

理论 上 可 行 , 实 际 中 不 可 行 。 这 也 是 导致 当前 互联 网 不 能 立即 升级 为 更 高 带宽 的 原因 。 

监管 有 正 反 两 面 : 能 够 有 效 减 少 网 络 的 攻击 ,但 可 能 会 对 公民 的 隐私 权 有 所 保留 。 另 
外 ,监管 权利 的 滥用 也 是 一 个 问题 。 


кої 


互联 网 安全 原理 探究 课 自 2006 年 设立 以 来 ,经 过 7 年 多 的 反复 教学 ( 近 100 堂 课 ) ,已 
经 为 2000 多 名 本 科 生 开设 了 讲座 ,选课 的 同学 来 自 经 管 、 法 律 新闻、 社会 .计算 机 等 各 个 专 
业 。 同 学 们 在 提交 的 报告 中 纷纷 指出 该 课程 信息 量 太 大 ,需要 提交 相应 的 导读 手册 ;同时 也 
纷纷 指出 该 课 收 益 很 多 ,对 切身 的 互联 网 安全 问题 有 更 深 的 了 解 。 分 析 同 学 们 提出 的 问题 
主要 原因 是 互联 网 安全 牵涉 的 基础 知识 太 多 ,因此 引文 内 容 , 铺 垫 部 分 需要 花 很 大 精力 去 
讲 , 和 否则 后 面 的 内 容 讲 不 清 , 同 学 听 不 明白 。 因 此 特 整理 这 本 导读 手册 , 供 大 家 参考 。 

实验 室 探 究 课 作 为 国家 精品 课程 ,其 主旨 是 将 专业 知识 大 众 化 ,将 科研 工作 的 成 果 以 教 
学 探究 的 方式 与 同学 研讨 ,一 方面 可 以 总 结 整理 科研 工作 者 的 研究 工作 ,发现 自身 的 不 足 和 
可 能 的 研究 方向 ; 另 一 方面 ,丰富 了 学 生 的 知识 ,开阔 了 学 生 的 视野 ,并 通过 “探究 课 ” 的 指 
导 , 增 强 了 学 生 的 实际 分 析 和 研究 的 能 力 。 

我 们 坚持 计算 机 工程 科研 方面 ,以 系统 工作 为 中 心 ,以 实际 系统 为 研究 对 象 ,在 
QoSLAB 5j NSLAB 先后 完成 了 反 蠕虫 系统 AntiWorm@THU .安全 配置 核查 SecuConf@ 
THU 可 信 网 络 访问 TNC-NAC@THU、 网 络 探 针 SNIFFER@ THU .统一 威胁 管理 UTM 
@THU 等 系统 原型 ,项 目 经 验 教训 的 积累 为 本 课程 的 写作 提供 了 极其 丰富 的 素材 。 

因为 时 间 有 限 ,再 加 上 信息 技术 日 新 月 异 , 玻 漏 或 不 妥 之 处 还 请 大 家 指正 。 
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第 7 章 UTM 简介 


Untangle UTM 一 体 化 安全 网 关 提 供 单机 管理 和 远程 管理 相 结 合 的 双重 管理 机 制 。 主 
要 安全 功能 包括 入 侵 保 护 、 防 病毒 防火墙 .协议 控制 .服务 质 量 、 虚 拟 专 用 网 、 流 量 记录 、 攻 
击 拦截 .网 页 过 滤 广告 拦截 、 防 间谍 软件 .垃圾 邮件 拦截 .钓鱼 网 站 拦截 和 日 志 图 表 报 告 。 


7.1 UTM 介绍 


目前 主要 的 网 络 安全 问题 有 黑客 攻击 (Hacking) 、 恶 意 代 码 (Malware) (包括 特洛伊 木 
Z (Trojans) .蠕虫 病毒 (Worms) la) ERK fT (Spyware) 流氓 软件 (又 叫做 Adware) ,网络 欺 
诈 (Phishing Attack) 和 网 络 攻击 (Attack) (包括 DDoS. fi J! [28 Botnet) 等 。 

针对 这 些 问 题 ,网 络 安全 防护 提出 了 相应 的 解决 方案 。 安 全 威胁 日 益 复杂 多 样 ,攻击 手 
段 日 益 综 合 。 很 多 复合 式 安全 攻击 融合 了 如 蠕虫 病毒 .木马 .间谍 软件 等 多 种 手段 ,单纯 依 
靠 以 单一 的 防火 墙 为 代表 的 传统 安全 解决 方案 已 经 无 法 奏效 。 而 采购 .部署 和 管理 多 种 单 
独 防护 手段 (如 反 钩 鱼 ` 反 蠕虫 .IPS 等 ) 安 全 设备 往往 需要 企业 花费 巨大 的 经 济 和 人 力 开 
销 , 并 需要 专业 的 网 络 管理 知识 ,从 而 给 企业 带 来 了 巨大 的 维护 成 本 。 

针对 上 述 问题 ,2004 年 9 月 IDC 提出 了 一 体 化 的 安全 设备 一 一 UTM。UTM 是 统一 威 
胁 管理 (United Treatment Management) 的 英文 缩写 ,UTM 是 一 种 多 功能 安全 网 关 设备 ， 
包括 防火 墙 \VPN 网关 防 病毒 IPS ,访问 控制 .内 网 监控 等 多 种 安全 功能 。UTM 的 基本 原 
理 与 功能 如 图 7-1 所 示 。 


应 用 层 иңеп] W 防 病毒 | [ 反 垃 圾 邮件 
传输 层 检测 

D im 307 
网 络 层 Ин |] | ven 
数据 链 路 层 桥接 
物理 层 


图 7-1 UTM 的 基本 原理 与 功能 


7.2 默认 部 署 图 


在 高 速 互联 网 和 人口 和 接 入 网络 环境 中 ,为 了 阻挡 来 自 互联 网 的 安全 威胁 以 及 对 各 种 业 
务 应 用 、Web 2. 0, VoIP 等 应 用 ,需要 全 面 的 安全 策略 ,包括 多 层 网 络 防御 。 同 时 ,为 了 保障 
许多 新 型 应 用 的 有 效 性 和 安全 性 ,迫使 管理 员 部 署 高 效 多 层 防 御 的 安全 设备 。UTM 系列 
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网 络 安全 解决 方案 提供 实时 的 多 层 安全 威胁 防御 机 制 。Untangle UTM 默认 的 部 署 模式 如 


图 7-2 所 示 。 
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图 7-2 Untangle UTM 默认 的 部 署 模式 


Untangle UTM 依据 对 现 有 网 络 的 影响 程度 ,在 网 络 中 部 署 有 三 种 模式 ,可 以 采用 路 由 
fit (Router) 、 网 桥 (Bridge) 和 重 路 由 (Re-router) 模 式 ,如 图 7-3 所 示 。 


DSL/Cable Untangle + 

Modem Router en 内 部 网 络 
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| 
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(с) 重 路 由 器 模式 


图 7-3 Untangle UTM 的 三 种 部 署 模式 


$582 UTM 的 配置 


8.1 串口 模式 管理 界面 


使 用 串口 线 连接 UTM 的 前 端面 板 串 口 (Console) ,查看 默认 IP 地 址 设置 。 
使 用 串口 线 连接 UTM 的 前 端面 板 串口 ,并 将 串口 波 特 率 设 为 9600, 可 连接 设置 查看 
默认 IP 地 址 ,可见 串 口 超级 终端 界面 ,如 


£] 8-1 所 示 。 


# saturn - HyperTerminal 
Fie Edit View Сай Transfer Help 


Oees 0H g 


www. example. com login: 


< > 
Connected 0:00:39 Auto detect 9600 8-N-1 NUI 
图 8-1 串口 超级 终端 界面 
设备 启动 后 初次 连接 到 串口 提示 需要 输入 用 户 名 。 
可 查看 各 网 口 IP 配置 。 选 项 菜单 与 查看 


输入 任意 用 户 名 后 按 Enter 键 进入 选项 菜单 ， 
状态 如 图 8-2 所 示 。 
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图 8-2 网 口 默认 IP 地 址 配置 状况 


8.2. 


нн s 配置 管理 机 器 为 192. 


168. 


其 录 界面 如 图 8-3 所 示 。 


8.2 登录 Untangle UTM 


1 登录 界面 
将 UTM 的 配置 口 与 管理 机 器 直接 相连 (采用 交叉 网 线 ) ,或 者 将 UTM 和 管理 机 器 同 


dom 
untangle" 


Untangle Administrator Login 


,用 浏览 器 访问 http: //192. 168. 2.1. 


输入 默认 管理 员 用 户 名 admin, #19 admin. 


XE IG Sr Bl 


修改 密码 ) 。 


进入 UTM 主 界面 (为 了 安全 起 见 ,建议 第 一 


服务 


2 localhost 


块 (右边 ) 两 大 块 。 配 置 板块 用 于 对 UTM 设备 


置 与 配置 。 功 能 板块 展示 了 = 
已 安装 的 功能 模块 和 服务 。 


8.2.2 主 界面 


主管 控 界 面 分 为 配置 板块 (左边 ) 与 功能 板 P panis 


密 
T 


图 8-3 Untangle UTM 登录 界面 


со 


启动 成 功 后 ,将 看 到 如 图 8-4 所 示 的 主管 理 界面 。 单 击 启动 浏览 器 客户 端 , 出 现 图 8-3 


所 示 的 登录 界面 。 


VW 


untangle“ 


2 m 


o X 


тит On 
* Reboot Shutdown 


Launch 
Client 


Change 
resolution 


图 8-4 Untangle UTM 主管 理 界面 


输入 用 户 名 和 密码 ,成 功 登 录 后 ,显示 如 图 8-5 所 示 的 安全 功能 管理 界面 
管理 界面 有 不 同 风格 可 以 选择 ,图 8-6 展示 了 部 分 模块 功能 (不 | 司 视图 风格 ) ,其 主 界面 
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图 8-5 Untangle UTM 安全 功能 管理 界面 
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图 8-6 Untangle UTM 部 分 模块 功能 (不 同 视图 风格 ) 


= 


图 8-7 主 界面 


8.3 系统 配置 


8.3.1 配置 板块 菜单 


单 击 右 侧 “配置 "选项 卡 ,出 现 如 图 8-8 所 示 的 配置 
项 。 其 中 ,联网 和 管理 最 为 重要 。 


8.3.2 联网 配置 


联网 配置 用 于 配置 设备 的 网 络 属性 。 单 击 图 8-8 中 
的 “联网 ”, 将 进入 联网 配置 页 面 ( 默 认 进 入 网 络 接口 配置 
界面 ) ,如 图 8-9 所 示 。 主 要 配置 项 有 网 络 接口 .端口 转 
发 .主机 名 、DHCP 服务 器 .DNS 服务 器 .QoS 和 高 级 等 。 
其 中 前 6 项 属于 标准 配置 。 

网 络 接口 主要 可 以 设置 为 三 种 类 型 。 

(1) 外 部 网 口 : 连接 外 网 的 接口 ,通常 是 Internet。 

(2) 内 部 网 口 : 连接 内 网 的 接口 ,通常 是 受 UTM 保 
护 的 网 络 。 

(3) DMZ IN EI : 非 军事 化 区 ,通常 是 用 来 放置 必须 允 
许 外 网 用 户 公开 访问 的 服务 器 ,如 Web 服务 器 、FTP JE 
务 器 等 。 它 是 为 了 解决 安装 UTM 等 安全 设备 后 外 部 网 
络 不 能 访问 内 部 网 络 服务 器 的 问题 ,而 设立 的 一 个 非 安全 
系统 与 安全 系统 之 间 的 缓冲 。UTM 通过 对 流 的 重 定向 
使 得 外 网 用 户 可 以 访问 部 署 在 DMZ 的 Web 等 服务 器 。 
就 安全 信任 程度 来 说 ,有 如 下 关系 : 
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图 8-8 Untangle UTM 配置 选项 


未 知 网 口 二 外 部 网 口 二 DMZ 网 口 二 VPN 二 内 部 网 口 
1. 网 络 接口 
Untangle UTM 网 络 接口 配置 如 图 8-9 所 示 。 


REED ORE SME ОНСРТЗ ОМЗ 005 
网 络 接口 列表 


001013197c9e — ^ 
00:1013:197с:91 
00:1013:197с:а0 
00:1043:197с:а1 


图 8-9 Untangle UTM 网 络 接口 配置 


网 络 接口 用 于 配置 接口 的 类 型 .地 址 .工作 模式 等 。 网 络 接口 主要 分 为 外 部 网 口 
(External) 和 内 部 网 口 (Internal), 可 以 通过 拖 忠 列表 中 的 每 一 行 ,来 改变 外 部 网 口 和 内 部 
网 口 与 物理 网 上 间 的 对 应 关系 。 单 击 各 网 口 前 的 “编辑 ”可 进入 网 口 配置 页 面 。 

CD 更 新 网 络 接口 : 对 物理 接口 进行 扫描 ,更 新 正在 使 用 或 未 使 用 的 接口 。 

(2) 测试 连通 性 : 检查 是 否 能 够 连 入 Internet, 

(3) Ping 测试 : Wit UTM 到 指定 目的 地 是 否 能 够 Ping iM. 

(4) 编辑 : 单 击 后 可 以 对 相应 网 络 接口 进行 多 项 设置 ,例如 ,指定 其 连接 模式 \ 设 定 其 
别名 等 。 

1) 外 部 网 口 配 置 

单 击 “ 编 辑 ”, 可 进入 该 网 络 接口 的 配置 界面 ,如 图 8-10 所 示 。 
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图 8-10 Untangle UTM 网 口 配 置 


外 部 网 口 配置 需要 选中 网 口 配置 页 面 * 是 外 网 接口 " 复 选 框 。 如 果 外 部 网 口 直 接 接 入 
Internet, 则 可 以 将 外 部 网 口 配置 类 型 选 定 为 静态 或 动态 , 视 是 否 有 固定 IP 而 定 。 如 果 外 部 
网 口 需 要 通过 PPPoE 协议 拨号 接 人 Internet, 则 需要 指定 网 口 类 型 为 PPPoE, 并 设 定 用 户 
名 和 密码 。 

网 口 类 型 说 明 如 图 8-11 所 示 。 

CD 静态 : 为 端口 指定 固定 IP 地 址 ,可 在 “首要 IP 地 址 和 网 络 掩 码 ”处 设置 。 

(2) 动态 : 动态 获取 IP 地 址 ,需要 指定 DHCP 服务 器 IP 地 址 。 

(3) 桥接 : 无 须 设置 IP 地 址 ,但 需要 指定 “桥接 至 " 某 个 网 口 (通常 为 外 部 网 口 )。 

(4) PPPoE: 指定 拨号 连接 , 需 设 定 账户 名 和 密码 。 


RARO WORE HWE DHCP 服 务 器 ”DNS 服务 器 Qos 
配置 网 口 
配置 类 型: 


是 外 网 接口 : 


首要 加 地 址 和 了 网络 搞 码 : 


图 8-11 配置 网 口 类 型 


2) 内 部 网 口 配置 

内 部 网 口 配置 需要 取消 网 口 配置 页 面 “ 是 外 网 接口 ? 复 选 框 。 内 部 网 口 必须 配置 为 静态 

如 果 希 望 使 用 设备 的 路 由 功能 ,可 以 将 内 部 网 口 设 为 静态 类 型 ,内 网 中 其 他 设备 会 将 该 
内 网 网 口 作为 网 关 。 此 时 可 以 在 “DHCP 服务 器 ?选项 卡 中 启用 设备 的 DHCP 服务 ,为 内 网 
的 设备 分 配 内 网 IP; 内 网 中 若 有 其 他 端口 服务 , 则 必须 在 “端口 转发 "选项 卡 中 添加 端口 映 
射 ,以 使 外 网 用 户 可 以 正常 访问 内 网 服务 。 

如 果 设 备 前 端 已 经 提供 了 路 由 和 DHCP 服务 , 则 可 以 将 内 部 网 口 设 置 为 桥接 类 型 , 桥 
接 对 象 设 为 外 部 网 口 , 且 无 须 进 行 其 他 配置 。 

为 了 使 设备 正常 工作 ,通常 需要 将 etho 设 为 外 部 网 口 (External) ,ethl 设 为 内 部 网 口 
(Internal)。 外 部 网 口 和 内 部 网 口 至 少 一 个 是 静态 的 ,以 便 顺利 地 通过 Web 方式 进入 UTM 
主 界面 。 默 认 设置 ethl 的 地 址 是 192. 168. 2. 1。 

3) NAT 策略 设置 
选择 “配置 >“ 联网 ”>“ 网 络 接口 ”, 单 击 “ 内 部 接口 "前 的 “编辑 ”, 在 “NAT 策略 ”区域 
单 击 “ 添 加 ”, 填 写 内 部 网 络 “ 地 址 和 网 络 掩 码 ” 及 “ 源 地 址 ”, 最 后 单 击 “ 保 存 ” 按 钮 。 

例如 ,假设 UTM 有 一 个 内 部 接口 ,其 IP 地 址 和 掩 码 为 192. 168.1.2/32, 并 且 有 两 个 外 
网 地 址 1. 2. 3.1 和 1. 2. 3.2。 如 果 和 希望 将 来 自 内 网 的 数据 包 的 源 地 址 显示 为 1. 2. 3.2, 那 么 
就 按照 上 述 NAT 策略 配置 将 192. 168. 1. 2/32 与 源 地 址 1. 2.3.2 WE. 

在 默认 情况 下 , 源 地 址 是 auto, 意 味 着 从 内 网 发 出 来 的 数据 包 源 地 址 显示 为 首要 外 网 
ЖШШЕ, 28, 1. 

2. 端口 转发 

端口 转发 通过 设置 规则 对 特定 数据 流 进行 转发 。 单 击 “ 端 口 转发 ", 进 入 配置 页 面 ,如 
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图 8-12 所 示 。 选 中 复 选 框 “ 开 ”, 将 使 本 条 规则 生效 。 单 击 每 条 规则 后 面 的 “编辑 ”按钮 ,可 
以 对 该 规则 进行 编辑 修改 。 


网 络 接口 ”端口 转发 主机 名 DHCP 服 务 器 DNS 服务 器 Qos 


端口 转发 

Qm x Hie 
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| [E] Forward mai traffic to an internal maMSMTP) server at 192.168.1.5. + lg 
[4] Forward all TCP traffic going ports 1000-2000 to 192 168.1.5 port 1000 Ф lg 
E m Forward remaining TCP, СМР and UDP traffic to 192 168 1.15 (DMZ Host) 中 a 


图 8-12 ”端口 转发 配置 
单 击 “ 添 加 ”按钮 ,可 以 设置 新 的 转发 规则 。 图 8-13 说 明了 如 何 生成 一 条 新 规则 : 将 
Web 流量 转发 到 内 部 IP 地 址 为 192. 168. 1. 5 的 Web 服务 器 。 
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转发 流量 到 下 列 位 置 : 


新 上 的 : [192.168.1.5 _ 
HRO (BR) : 


图 8-13 编辑 新 规则 
3. 主机 名 


单 击 “主机 名 ”, 将 进入 设置 页 面 ,如 图 8-14 所 示 。 在 此 可 以 配置 UTM 服务 器 的 主机 
名 称 , 以 及 指定 相应 的 DNS 服务 器 。 如 果 UTM 服务 器 从 ISP 处 获得 了 动态 IP 地 址 ,那么 
可 以 通过 此 项 的 设置 将 该 动态 TP 地 址 与 你 设 定 的 静态 域名 绑 定 , 从 而 方便 通过 Internet 使 
用 域名 访问 该 UTM., 


“服务 ”后 面 的 下 拉 列 表 中 列 出 了 提供 动态 DNS 服务 的 提供 商 , 可 以 进行 服务 注册 。 
4. DHCP 服务 器 


JÉGE"DHCP 服务 器 ”, 进 入 设置 页 面 ,可 以 设置 DHCP 服务 器 ,如 图 8-15 所 示 。 其 功 


能 和 配置 与 一 般 DHCP 服务 器 相同 ,可 以 为 UTM 所 管辖 的 内 部 网 络 中 的 计算 机 分 配 动 态 
IP 地 址 。 


当 内 网 的 某 台 计算 机 从 UTM 上 获得 了 一 个 动态 IP 地 址 后 ,如 果 希 望 VPN 客户 端 能 
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图 8-14 主机 名 设置 


192.168.2.100 


图 8-15 DHCP 服务 器 配置 


够 连接 到 那 台 计算 机 ,那么 就 需要 为 其 指定 一 个 静态 IP 地 址 ,这 可 以 通过 静态 DHCP АП 
表 的 配置 来 实现 : 单 击 “添加 ”按钮 ,将 生成 一 条 新 的 表 项 , 单 击 该 表 项 任意 字段 即 可 进行 设 
置 , 可 以 将 特定 “MAC 地 址 ?与 某 *IP 地 址 ? 绑 定 ,从 而 为 该 MAC 地 址 的 主机 分 配 静 态 IP 
地 址 。 

静态 DHCP AH: 列 出 所 有 已 经 被 分 配 了 静态 IP 地 址 的 计算 机 。 

当前 DHCP 入 口 : 列 出 所 有 以 及 接受 了 UTM 的 DHCP 服务 的 计算 机 。 

5. DNS 服务 器 

UTM 可 以 为 内 网 用 户 提供 域名 解析 服务 。 单 击 *DNS 服务 器 ”, 进 入 设置 页 面 ,选中 
“已 启用 ” 复 选 框 , 则 可 启用 DNS 服务 ,如 图 8-16 所 示 。 

当 内 网 某 台 计算 机 从 UTM 上 获得 动态 IP 地 址 后 ,UTM 将 自动 为 该 计算 机 增加 一 条 
DNS 条 目 。 当 为 内 网 某 台 计算 机 设置 了 域名 解析 功能 后 ,内 网 的 其 他 机 器 就 可 以 通过 域名 
访问 该 计算 机 。 如 果 内 网 某 台 计算 机 没有 设置 域名 ,那么 可 以 通过 主机 名 和 IP 地 址 映射 功 
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图 8-16 DNS 服务 器 配置 


能 实现 使 用 主机 名 访问 该 计算 机 。 
设置 如 下 : 在 “静态 DNS 入 口 ” 项 中 单 击 “ 添 加 ”按钮 ,将 生成 一 条 新 记录 ,对 该 记录 进 
行 编辑 ,完成 IP. 地 址 和 主机 名 的 绑 定 。 


6. QoS 
具体 功能 介绍 和 相关 配置 参见 9. 5 节 。 
7. 高 级 选项 设置 


在 默认 安装 情况 下 ,UTM 将 以 标准 配置 方式 安装 ,如 果 标 准 配置 方式 无 法 满足 需要 ， 
用 户 可 以 通过 “高 级 "选项 进行 设置 ,高 级 选项 配置 除 包括 了 所 有 标准 配置 内 容 外 ,还 增加 了 
包 过 滤器 、 基 本 、 旁 路 规则 、ARP、 路 由 、 本 地 DNS, DHCP 和 DNS、 和 覆盖 等 配置 项 。 高 级 配 
置 要 求 管理 员 熟 悉 专业 知识 和 经 验 。 

可 以 直接 单 击 “ 高 级 "进入 高 级 配置 模式 向 导 , 按 照 向 导 提 示 逐 步 进 行 配置 ,也 可 以 打开 
“高 级 ”下拉 菜单 选择 需要 配置 的 项 ,如 图 8-17 所 示 。 下 面 仅 采用 后 者 配置 方式 进行 说 明 ， 


图 8-17 高 级 配置 选项 


1) 包 过 滤器 

虽然 UTM 提供 了 防火 墙 功能 模块 ,但 可 以 使 用 包 过 滤器 满足 特殊 需求 。 使 用 包 过 滤 
器 的 前 提 是 必须 熟悉 配置 ,否则 请 使 用 UTM 的 防火 墙 配置 。 而 且 , 必 须 清楚 对 UTM ЖТ. 
作 在 传输 层 或 网 络 层 的 , 它 将 影响 所 有 的 UTM 用 户 。 

单 击 “ 高 级 ”下 拉 菜 单 中 的 “ 包 过 滤器 ”, 进 入 配置 页 面 ,如 图 8-18 所 示 。 


Allow DHCP Requests from the DMZ interface.. 
图 8-18 包 过 滤器 配置 


在 “系统 包 过 滤 规 则 ” 表 中 列 出 了 常用 的 过 滤 规 则 ,可 以 通过 勾 选 或 清除 复 选 框 启动 或 
禁用 这 些 规则 。 

如 果 需 要 增加 新 的 过 滤 规 则 ,可 单 击 “用 户 包 过 滤 规 则 ?中 的 “添加 ?按钮 ,将 进入 规则 配 
置 界 面 , 如 图 8-19 所 示 。 
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图 8-19 过 滤 规 则 配置 


默认 情况 下 ,配置 的 这 条 规则 是 启用 的 。 在 “动作 ”后 的 下 拉 列 表 中 选择 以 下 需要 的 
操作 。 

COD 通过 : 允许 分 组 通过 防火 墙 。 

(2) ER: 阻止 分 组 通过 防火 墙 ,丢弃 分 组 , 且 不 给 分 组 发 送 者 发 送 任何 消息 。 

(3) 拒绝 : 丢弃 分 组 ,同时 给 分 组 的 发 送 者 返回 一 个 ICMP 报 文 “ 端 口 不 可 达 ” 消 息 。 

在 “如 果 所 有 条 件 都 满足 ”一 栏 中 单 击 “ 添 加 ”按钮 ,将 生成 一 条 新 规则 ,在 “类 型 ” 栏 中 可 
选择 如 下 选项 。 

CD 源 地 址 : 源 主机 的 IP 地 址 。 

(2) 目的 为 本 地 : UTM 服务 器 上 的 任何 外 部 接口 或 外 部 IP 地 址 。 

G) 目的 地 址 : 接收 者 的 IP 地址 。 
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(4) 目标 端口 : 接收 者 的 端口 

(5) 源 端口 : UTM 上 第 一 个 接收 该 流 的 端口 。 
(6) 源 接口 : UTM 上 第 一 个 接收 该 流 的 接口 。 
(7) 协议 : 流 所 使 用 的 传输 层 或 网 络 层 协议 。 
(8) ЇЙ MAC 地 址 : UTM 接口 MAC 地 址 。 
设置 完成 后 , 单 击 “ 更 新 "使 规则 生效 。 

2) 基本 

单 击 “ 高 级 "下拉 菜单 中 的 “基本 ”选项 ,进入 配置 页 面 ,如 图 8-20 所 示 。 
可 以 启用 或 禁用 下 述 功能 。 


基本 设置 
(1) 发 送 ICMP 重 传 包 。 РТР 
(2) 启用 SIP 工具。 启用 SIP 工 具 : 
(3) 转发 端口 管理 。 wawaq: 
(4) BE NAT-WAN 流量 。 en 


3) Wi ht 25 BU er 

为 了 有 效 提 高 设备 的 可 用 性 和 可 靠 性 , Untangle 
UTM 提供 了 流量 旁 路 配置 功能 。 用 户 可 以 根据 实际 
需求 ,灵活 地 配置 旁 路 多 种 不 同 的 网 络 流量 ,如 VoIP、H323、RTP、SIP、DNS 等 。 

Untangle UTM 服务 器 架构 如 图 8-21 所 示 。 


图 8-20 基本 配置 页 面 


HTTP 流 最 进 入 外 六 | untangle 
接口 ， 但 是 不 能 
旁 路 UVM 。 


Untangle Software 


E facia) 

VOIP 流量 进入 外 部 
接口 ， 也 可 以 
旁 路 UVM 。 


图 8-21 Untangle UTM 服务 器 架构 


旁 路 规则 (Bypass Rule) 使 得 特殊 的 流量 可 以 旁 路 过 UVM. Untangle Virtual 
Machine( UVM) # Untangle Server 的 进程 ,默认 情况 下 ,无 论 Untangle 服务 器 是 桥接 还 是 
网 关 模 式 ,Untangle Sever 到 达 的 流量 总 是 通过 UVM ,然后 进入 上 层 的 Rack 部 分 (安全 功 
能 组 件 )。 匹 配 特定 旁 路 规则 的 Untangle 流量 (如 VoIP) 直 接 通过 网 卡 , 进 入 Linux 内 核 ， 

eds 


而 不 必 再 通过 UVM。 这 是 Linux 内 核 来 处 理 这 些 流量 ,而 非 UVM. 

当 用 户 创 建 Bypass 规则 时 ,实际 上 是 创建 用 户 旁 路 规则 。 旁 路 规则 分 为 用 户 旁 路 规则 
和 系统 旁 路 规则 。 系 统 旁 路 规则 是 默认 预先 配置 于 Untangle 服务 器 中 。 在 需要 特殊 处 理 
和 时 间 敏 感性 需求 的 情况 下 , 旁 路 规则 指导 特殊 流量 旁 路 过 UVM, 如 PPTP、IPsec VPN B) 
议 等 。 

Ж. 

COD 为 了 改进 QoS, ё % Untangle QoS AH, F HHN HE if + HE FMB Untangle 
QoS 系统 (因为 采用 的 是 Linux 内 核 的 QoS 支持 功能 ,而 非 在 UVM PRE), wR FKA 
则 的 目的 是 改善 流量 的 时 延 和 处 理 优 先 级 ,应 当 在 QoS 规则 中 增加 一 条 规则 ,将 该 流量 标 
记 为 高 优先 级 。 

(2) 协议 控制 模块 是 基于 UVM 的 ,协议 控制 模块 的 主要 功能 是 实施 流量 策略 。 而 旁 
路 规则 是 指导 特殊 流量 旁 路 过 UVM, 

流量 旁 路 具体 设置 如 下 : 单 击 * 配 置 ", 进 入 “联网 ”选项 。 单 击 “ 高 级 "下拉 菜单 中 “ 旁 路 
规则 ”, 进 入 配置 页 面 ,或 者 如 图 8-22 所 示 。 


图 8-22 旁 路 规则 设置 


通过 添加 旁 路 规则 ,可 以 将 相应 的 流量 进行 直通 旁 路 ,这 样 便于 网 络 的 管理 和 维护 ,如 
添加 旁 路 直通 VoIP 流量 等 。 

4) ARP 管理 

UTM 提供 IP 地 址 和 MAC 地 址 绑 定 功能 ,这 样 做 有 如 下 好 处 。 

* 防止 ARP 欺骗 。 

。 避免 因 误 配 IP 地 址 引起 的 混乱 。 
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。 对 某 些 不 支持 ARP 协议 的 设备 进行 支持 。 
要 增加 一 条 “ARP 记录 ”, 操 作 如 下 : 单 击 “ 静 态 ARP 入 口 ” 中 的 “添加 ”按钮 ,指定 “IP 
地 址 ”和 “MAC 地 址 ”, 如 图 8-23 所 示 ,而 后 单 击 “ 保 存 ” 按 钮 。 
ARP 
##ARPATI 
Q Xm - - — 
mi Pith MAc 地 址 
活跃 ARP 和 口 
Ea gar 
Pitt MAC 地 址 | кап 
203.81.26.54 00:04:23:b0:f3:4c br.eth0 
203.81.26.1 00:60:cf:4b:01:90 br.eth0 
203.81.26.44 00:02:b3:e9:69:05 br.ethü 
203.81.26.53 00:c0:9f:40:51:64 breth0 
203.81.26.60 00:30:48.72:61:79 br.ethü 
图 8-23 ARP 记录 配置 
5) 路 由 
UTM 


可 以 进行 路 由 管理 , 单 击 “ 高 级 ”下 拉 菜 单 中 的 “路 由 ”选项 ,进入 路 由 管理 配置 界 
面 ,如 图 8-24 所 示 。 


路 由 

静态 路 由 

2 X = 
m ag 


т mx 


网 关 


166.111.137.0 


breth0 
默认 


166.111.137.1 


图 8-24 路 由 管理 配置 


CD 静态 路 由 : 显示 手工 添加 的 路 由 。 
(2) 活跃 路 由 : 显示 当前 活跃 的 路 由 表 。 
活跃 路 由 是 UTM 决定 将 分 组 发 往 何 处 的 依据 。 在 配置 了 UTM 及 其 接口 后 ,将 会 在 
活跃 路 由 表 中 自动 增加 一 条 默认 记录 ,该 默认 记录 是 Internet 的 默认 网 关 。 
单 击 “ 静 态 路 由 ”下 的 “添加 ”按钮 .将 增加 一 条 新 记录 ,可 以 对 该 记录 进行 编辑 。 
COD 目标 /网 络 掩 码 : 指定 需要 进行 路 由 配置 的 网 络 。 
(2) 网 关 : 指定 接收 来 自 路 由 网 络 数据 的 主机 。 
设置 完成 后 bt enl 


6) 覆盖 

文件 覆盖 为 用 户 提供 了 防止 特殊 系统 配置 文件 被 改写 的 方法 。 一 些 专业 用 户 习惯 于 手 
工 编辑 这 些 系统 文件 ,这 些 文件 包括 系统 配置 文件 和 功能 模块 文件 ,前 者 是 受 UTM 系统 控 
制 的 ,大 多 数 可 以 被 覆盖 ;后 者 则 不 受 UTM 系统 控制 ,所 以 不 能 被 覆盖 。 文 件 覆 盖 配 置 如 
图 8-25 所 示 。 


回回 回回 回回 回回 | 书 
回回 回回 回回 回回 | 则 


中 中 由 由 由 由 中 中 加 


图 8-25 文件 覆盖 配置 


8.3.3 管理 配置 


管理 配置 页 面 可 进行 设备 管理 相关 的 属性 设置 ,包括 管理 员 账 号 的 添加 删除 及 密码 的 
修改 ;UTM 主 界面 的 访问 控制 ;本 机 证 书 的 生成 和 管理 ;系统 日 志 (Syslog) 的 配置 等 。 

若 内 网 接口 不 是 静态 类 型 ,建议 启用 外 部 管理 并 将 外 部 接口 设 为 静态 。 

1. 管理 员 账号 

在 主 界面 右 侧 栏 中 单 击 “配置 ?下面 的 “管理 ?按钮 ,进入 管理 配置 界面 ,如 图 8-26 所 示 。 


图 8-26 Untangle UTM 管理 配置 


单 击 * 添 加 ?按钮 ,可 以 添加 新 的 管理 员 ,设置 密码 .邮箱 等 。 同 时 也 可 以 对 现 有 管理 员 
。56 。 


的 相关 信息 进行 修改 和 删除 。 

(1) 外 部 管理 : 对 用 户 从 外 网 访问 UTM 服务 器 操作 进行 设置 。 

(2) 内 部 管理 : 对 内 网 用 户 使 用 HTTP 协议 访问 UTM 服务 器 进行 设置 。 

2. 公共 地 址 

如 果 UTM 部 署 在 路 由 器 之 后 ,UTM 需要 知道 该 路 由 器 的 ТР 地址 ,因为 一 些 应 用 在 发 
送 URL 链接 时 需要 知道 外 部 地 址 。 这 里 可 以 为 UTM 指定 外 部 路 由 器 的 公共 地 址 ,必要 时 
还 可 以 指定 一 个 端口 进行 转发 或 重 定向 数据 。 

当 UTM 拥有 自己 的 域名 ,并 且 启 用 了 动态 域名 解析 服务 时 ,就 可 以 选择 “使 用 主机 
名 ”, 公 共 地 址 配置 如 图 8-27 所 示 。 


该 公共 地 址 或 主机 名 为 Hosun 服 务 器 提供 了 一 个 公共 的 可 路 由 的 地 址 。 并 将 会 在 Hosun 服 务 器 发 出 昌 件 中 被 用 于 链接 回 Hosui 


© RABIN) 
BERL AES ER Hosun gas SAT AHP A © 


© 使 用 主机 名 


如 果 Hosun 服 务 器 的 全 称 坛 名 可 以 在 内 部 和 外 部 同时 查 换 到 其 地 址 8 推荐 该 硕 。 
当前 主机 名 : hosun. example.com 

© 使 用 手工 指定 的 了 
如 果 Hosun 服 务 器 安装 在 另外 一 个 带 有 从 指定 六 口 转发 并 重 定向 数据 传输 到 Hosun 服 务 器; 火 寺 衣 后 时 推荐 该 硕 。 
地 址 : | 
ап: Гааз 


图 8-27 公共 地 址 配置 


3. 证 书 

数字 证 书 是 Web 服务 器 用 来 证 明 自 己 身份 的 凭证 。 当 人 们 使 用 SSL 协议 通过 浏览 器 
访问 UTM 服务 器 时 ,UTM 服务 器 将 向 人 们 出 示 自 己 的 证 书 ,如 果 人 们 的 浏览 器 没有 将 该 
证 书 加 为 受信 任 的 证 书 , 那 么 浏览 器 将 发 出 “证 书 错误 ”的 告警 。UTM 通常 是 用 自己 生成 
的 证 书 ,因此 在 用 户 浏览 器 看 来 该 证 书 是 “未 被 授权 的 ”, 因 此 为 了 避免 告警 信息 的 干扰 ,请 
永久 接受 该 证 书 。 

证 书 配置 如 图 8-28 所 示 。 要 生成 一 个 自 签名 证 书 ,操作 如 下 。 

单 击 “创建 一 个 自 签 名 证 书 ”, 在 弹出 框 中 填写 相关 信息 ,而 后 单 击 “ 进 行 ”。 

创建 一 个 证 书签 名 请 求 : 在 申请 如 Thawte, Verisign 等 证 书 授权 者 的 认证 时 ,可 通过 
复制 并 粘贴 的 方式 使 用 该 证 书签 名 请 求 。 

导入 一 个 已 签名 证 书 : 导入 由 证 书 授权 者 生成 的 基于 上 一 步 签 名 请 求 表 的 已 签名 
证 书 。 

4. 监视 

简单 网 络 管理 协议 (SNMP) 是 知名 网 络 管理 规范 。UTM 完全 支持 SNMP 协议 规范 。 
在 “监视 ?配置 里 ,可 以 进行 如 下 设置 ,如 图 8-29 所 示 。 

(1) 禁用 SNMP 监视 (默认 设置 ) : 禁用 SNMP 监视 功能 。 

(2) 启用 SNMP 监视 : 启用 监视 功能 ,需要 设置 下 述 SNMP 参数 。 


简单 网 络 管理 协议 (SNMP) 
© 禁用 SNMP 上 监视 。( 默 认 设置 ) 
© 启用 SNMP 监 视 。 
ER ] 
[иже | 
i ESE | 
| 管理 | 公共 地 址 | 证 书 | шн) © АОН о СБА) 
кя © ВЕНЕ E EUR о 
有 效 的 开始 : 公共 组 : LE E. 
PARES: 主机 : [km we xu | 


主 是 DN: wan: 162 


@ махнеш. MURA) 
© 自用 系统 日 志 监 视 * 
J ERSIEBH 主机 : r 


| diisbieBR—^ 


ап 
设备 : 
ima: 


| MaRS A EER: 


图 8-28 证 书 配置 图 8-29 监视 配置 


(D 公共 组 : 设置 SNMP Community, RAX Untangle. 

@ 系统 联系 人 : 接受 SNMP 消息 的 管理 员 邮 箱 地 址 。 

@ 系统 位 置 : 对 系统 位 置 的 描述 。 如 果 不 知道 请 使 用 默认 值 。 

© 禁用 陷阱 : 不 产生 Trap 事件 。 

© 启用 陷阱 : 当 有 Trap 事件 发 生 , 发 送 消息 。 注 意 : Trap 消息 现在 已 经 很 少 使 用 。 
а. 公共 组 : 验证 Trap 事件 的 Community, 

b. 主机 : 接收 来 自 UTM 统计 信息 的 主机 名 或 IP 地 址 。 

c. 端口 : SNMP 的 Trap 端口 为 162 。 

(3) 禁用 系统 日 志 监 视 : 不 产生 系统 日 志 。 

OD 启用 系统 日 志 监 视 : 需要 加 载 第 三 方 消息 发 送 模块 ,并 设置 下 述 参 数 。 
O ЕМ: ЖА UTM 系统 日 志 的 主机 的 主机 名 或 IP 地 址 。 

@ 端口 : 默认 为 514, 可 以 根据 需要 更 改 。 

@ 设备 : 指定 分 配给 UTM 的 区 别 于 其 他 守护 进程 的 设备 。 

CD BUA: 即 优先 级 ,表示 消息 内 容 的 紧急 程度 。 


8.3.4 电子 邮件 


单 击 “ 配 置 " 下 的 “电子 邮件 ”按钮 ,进入 邮件 配置 页 面 。 
1. 出 站 服务 器 
配置 界面 如 图 8-30 所 示 。 
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图 8-30 出 站 服务 器 配置 


该 项 配置 较 简 单 ,按照 界面 提示 配置 即 可 。 

2. 安全 发 件 人 列表 

安全 列表 是 在 垃圾 邮件 过 滤器 对 合法 邮件 误 报 率 比较 高 时 采取 的 一 种 应 对 方法 。 
Untangle UTM 的 误 报 率 并 不 高 ,因此 一 般 不 需要 设 定 安全 发 件 人 列表 ,并 且 不 允许 管理 员 
为 每 个 用 户 都 设 定 一 个 安全 发 件 人 列表 ,除非 该 用 户 有 被 隔离 的 合法 邮件 。 

全 局 : 为 所 有 终端 用 户 进 行 设置 。 

每 用 户 : 为 个 人 用 户 进 行 设置 。 

安全 发 件 人 列表 配置 如 图 8-31 所 示 。 要 配置 “安全 发 件 人 列表 ”, 进 行 如 下 操作 : 单 击 
“安全 发 件 人 列表 ”, 在 “全 局 ”" 表 下 单 击 “ 全 局 ”选项 ,在 弹出 框 中 填写 发 件 人 邮件 地 址 ,如 
zhansan@ gmail. com 或 * @ gmail. com, Mima it“ (RFF FEAT 。 


зава | 安全 发 件 人 列表 | RE | 
全 局 
Qn 


图 8-31 安全 发 件 人 列表 配置 


з. 隔离 

UTM 可 以 在 隔离 区 存储 可 疑 邮 件 , 这 样 就 可 通过 查看 隔离 区 来 避免 邮件 被 误 判 。 邮 件 
是 否 被 隔离 是 由 软件 功能 模块 决定 的 ,比如 垃圾 邮件 拦截 等 。 有 两 类 用 户 可 以 访问 隔离 区 。 

CD 终端 用 户 : UTM 所 保护 的 网 络 中 的 用 户 。 此 类 用 户 可 以 在 隔离 区 清除 或 释放 可 
疑 邮件 ,但 不 能 登录 管理 员 界 面 。 

(2) 管理 员 : 拥有 管理 特权 。 

要 进行 隔离 设置 ,请 单 击 * 隔 离 ? 选 项 卡 , 接 人 配置 界面 ,如 图 8-32 所 示 。 

最 大 保留 时 间 : 指定 保存 多 少 天 ,过 期 会 被 删除 。 

发 送 每 日 隔离 摘要 : 选中 后 将 每 天 向 用 户 自动 发 送 HTML 格式 的 隔离 摘要 信息 ,并 通 
过 链接 指向 它们 的 隔离 信箱 。 

隔离 摘要 发 送 时 间 : 修改 发 送 摘要 的 时 间 。 


bmi ew 加 
METANU: марк //166.111.137.220/ quarantine! FOIE 


т а I 


图 8-32 ”邮件 隔离 配置 


用 户 可 以 通过 https://UTMServerIP/quarantine/ 链 接 输入 邮箱 地 址 ,手动 请 求 发 送 
隔离 摘要 。 设 置 界面 如 图 8-33 所 示 。 


当 将 垃圾 邮件 拦截 模块 设置 为 扫描 并 隔离 邮件 时 , 它 会 对 所 有 用 户 执行 该 操作 ,除非 特 
别 指 定 。 如 果 将 垃圾 拦截 模块 设置 为 隔离 所 有 用 户 的 邮件 ,并 且 和 希望 所 有 用 户 都 能 管理 自 
己 的 隔离 邮件 ,就 不 需要 进行 任何 设置 。 但 是 ,如 果 不 希 望 垃圾 邮件 拦截 模块 隔离 所 有 用 户 
的 邮件 ,而 仅仅 希望 垃圾 邮件 拦截 模块 对 某 些 用 户 的 邮件 进行 标记 ,那么 就 需要 进行 如 下 
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操作 。 

在 “应 隔离 的 地 址 "区域 ,删除 包含 通配符 * 的 默认 行 ,而 后 单 击 “添加 ”按钮 ,为 需要 隔 
离 的 用 户 创建 表 项 ,在 表 项 中 设 定 该 用 户 的 地 址 。 这 样 对 于 不 在 表 项 中 的 用 户 ,垃圾 邮件 拦 
截 模 块 仅 对 它们 进行 标记 。 

如 果 不 希 望 特定 用 户 管理 他 们 自己 的 隔离 邮件 或 其 订购 的 邮件 分 发 列表 隔离 邮件 , 那 
么 可 以 将 这 些 用 户 或 邮件 分 发 列表 的 隔离 邮件 转发 到 一 个 专用 邮件 账号 去 。 设 置 如 下 : 在 
“隔离 转发 ”区域 单 击 “ 添 加 ”按钮 ,在 编辑 对 话 框 中 进行 如 下 设置 。 

(1) 分 发 列表 收 件 人 邮件 地 址 。 

(2) 接收 地 址 。 

单 击 “ 更 新 ”按钮 。 


8.3.5 本 地 目录 


在 UTM 上 存储 用 户 目 录 , 包 括 登 录 、 姓 名 、 邮 件 和 密码 信息 等 ,如 图 8-34 所 示 。 配 置 
WT: 

单 击 “ 配 置 " 栏 中 “本 地 目录 ”项 ,在 “本 地 用 户 ” 栏 下 单 击 “ 添 加 ”按钮 ,输入 相关 信息 , 单 
击 “ 更 新 ”按钮 。 


图 8-34 本 地 目录 配置 


8.3.6 系统 


1. 客户 支持 
“客户 支持 ?区域 如 图 8-35 所 示 ,可 以 选择 或 不 选择 如 下 选项 。 


固 发 送 您 约 服务 器 数据 用 于 客户 支持 目的 。 这 将 会 发 送 给 我 们 有 关 状 态 更 新 和 发 生意 外 状 吕 的 电 子 上 邮 件 ， 但 不 
会 允许 我 们 登录 您 的 服务 器 。 您 的 任何 个 人 信息 都 不 会 被 发 送 给 我 们 。 


手动 重启 


SA: 单 击 按 刍 格 会 重启 Hosun 服 务 器 ， 并 会 暂时 中 国 F3 络 活动 。 


图 8-35 客户 支持 配置 


(1) 允许 因 客 户 支 持 目 的 安全 的 访问 您 的 服务 器 : 允许 Untangle 技术 人 员 远 程 访问 你 
的 UTM 服务 器 以 解决 可 能 的 故障 。 

(2) 发 送 您 的 服务 器 数据 用 于 客户 支持 目的 : 允许 UTM 服务 器 向 Untangle 技术 支持 
发 送 服 务 器 日 志 消 息 以 解决 可 能 的 故障 ,UTM 不 会 发 送 敏感 的 网 络 信息 。 

在 “手动 重启 "区域, 可 以 选择 “重启 ”服务 器 。 

在 “手动 关闭 ”区 域 ,可 以 选择 “关闭 ”服务 器 。 

2. 备份 

Untangle 推荐 人 们 对 自己 的 配置 进行 备份 ,可 以 把 当前 的 系统 配置 备份 到 本 地 计算 机 
的 一 个 文件 以 便于 之 后 的 系统 恢复 。 备 份 文件 的 后 级 名 为 . backup, 再 把 当前 的 系统 配置 
备份 到 一 个 文件 后 ,将 来 可 以 用 在 “恢复 ”选项 卡 中 来 恢复 配置 ,如 图 8-36 所 示 。 


您 可 以 把 您 当前 的 系统 配置 备份 到 本 地 计算 机 的 一 个 文件 以 便于 之 后 的 系统 恢复 ， 隐 如 果 您 想 用 当前 的 设置 
普 换 排 新 的 设置 时 


° 备份 文件 的 后 提名 为 .backup: 
在 您 把 当前 的 系统 可 置 备份 到 一 个 文件 后 ， 您 可 以 用 本 对 活 框 选择 "恢复 -> 从 本 地 文件 ЯНКИ > 


图 8-36 备份 配置 


3. 恢复 

从 本 地 计算 机 的 备份 文件 中 恢复 一 个 以 前 的 系统 配置 。 备份 文 件 的 后 级 名 为 
.backup。 人 恢复 配置 操作 如 下 : 单 击 “ 浏 览 ” 按 钮 ,选择 一 个 备份 文件 , 单 击 “ 从 文件 恢复 ” 按 
钮 ,再 单 击 “ 保 存 ” 按 钮 ,如 图 8-37 所 示 。 


来 自 文件 
您 可 以 从 您 本 地 计算 机 上 的 备份 文件 恢复 一 个 以 前 的 系统 配置 。 备 份 文件 的 后 旨 名 为 .backup” 


图 8-37 恢复 系统 配置 
4. 协议 设置 
当 进 行 故障 排除 时 ,可 以 通过 禁用 特定 协议 处 理 来 排除 UTM 自身 的 问题 。 该 项 设置 
比较 简单 ,只 要 选择 禁用 或 启用 相关 协议 处 理 功 能 即 可 ,如 图 8-38 所 示 。 
8.3.7 系统 信息 
在 系统 信息 中 显示 了 系统 的 版 本 号 ,并 为 系统 管理 员 提 供 了 注册 功能 ,如 图 8-39 所 示 。 
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四 邮局 协议 3(POP3) 
四 互联 网 消息 访问 协议 (IMAP) 


图 8-38 协议 设置 


-您 网 络 上 的 个 人 电脑 数量 ; сев 


回答 这 些 问题 可 以 帮助 我 们 为 您 开发 出 更 好 的 产品 
您 将 会 在 什么 地 方 使 用 : 
国家 : 


图 8-39 系统 信息 显示 
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$698 UTM 功用 


单 击 每 个 功能 插件 后 面 的 开关 按钮 ,UTM 的 每 一 项 功能 都 可 以 关闭 和 打开 。 开 关 按 
钮 下 面 的 指示 灯 为 绿色 ,表示 此 功能 插件 已 开启 ;为 黄色 ,表示 插件 关闭 。 


9.1 AREH 


9.1.1 功能 描述 


入 侵 保 护 是 一 套 和 人 侵 检测 系统 , 它 能 够 拦截 所 有 流量 、 检 测 针对 整个 网 络 或 者 单一 计算 
机 的 恶意 行为 。 入 侵 保 护 采 用 特征 检测 的 方法 用 来 发 现 恶意 行为 ,这 种 方法 借鉴 了 已 知 的 
攻击 模式 数据 库 。 入 侵 保护 对 于 恶意 行为 的 拦截 并 不 会 对 系统 性 能 产生 影响 , 它 对 于 恶意 
用 户 以 外 的 其 他 用 户 来 说 是 透明 的 。 如 果 入 侵 保护 检测 出 恶意 行为 , 它 将 终止 该 行为 的 会 
话 。 入 侵 保 护 预 设 了 合理 的 默认 配置 ,因此 入 侵 保护 并 不 需要 太 多 的 定制 ,虽然 用 户 可 以 更 
改 这 些 默 认 值 或 添加 自己 的 规则 。 

和 人 侵 保护 提供 了 一 个 规则 (特征 ) 列 表 , 可 以 对 满足 规则 的 行为 进行 阻挡 、 记 录 或 者 忽 
略 。 为 了 方便 用 户 使 用 ,UTM 评估 这 些 规则 和 网 络 情况 ,在 此 基础 上 确定 基于 以 下 标准 的 
合适 默认 值 。 

(1) 如 果 规 则 一 直 都 被 视 为 阻挡 恶意 行为 规则 ,入 侵 保护 将 默认 地 阻挡 和 记录 。 

(2) 如 果 规 则 有 时 被 视 为 阻挡 恶意 行为 规则 ,入 侵 保护 将 默认 地 记录 。 

СЗ) 如 果 规 则 从 来 不 被 视 为 阻挡 恶意 行为 规则 ,入 侵 保护 将 默认 地 既 不 阻挡 也 不 记录 。 

在 大 多 数 情况 下 ,用户 不 必 更 改 默认 设置 。 如 果 规 则 阻止 某 个 用 户 必须 使 用 的 软件 应 
用 程序 流量 ,那么 用 户 只 需要 禁用 规则 。 

(1) 如 果 用 户 启动 一 条 阻挡 规则 ,入 侵 保 护 将 会 阻挡 与 规则 特征 相 匹配 的 流量 。 

(2) 如 果 用 户 启动 一 条 记录 规则 ,入 侵 保护 将 会 记录 与 规则 特征 相 匹配 的 流量 。 


9.1.2 配置 说 明 


在 Untangle UTM 主 界面 的 机 架 中 单 击 *“ 入 侵 保护 ?选项 ,进入 人 侵 保 护 的 配置 界面 。 
1. 状态 
单 击 “状态 ”选项 卡 ,页 面 中 的 信息 解释 如 下 。 界 面 如 图 9-1 所 示 。 
CD 总 的 可 用 签名 : 入 侵 检测 的 所 有 可 用 规则 数 。 
(2) 总 的 签名 记录 : 规则 中 动作 为 日 志 的 规则 数 。 
(3) 总 阻止 的 签名 : 规则 中 动作 为 阻止 的 规则 数 。 
注意 : 对 于 每 条 规则 ,可 以 同时 声明 阻止 和 日 志 两 个 动作 ,也 可 以 根据 需要 选择 任意 一 
个 动作 。 
2. 规则 
单 击 “规则 ?选项 卡 ,显示 入 侵 保 护 的 规则 列表 ,如 图 9-2 所 示 。 
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图 9-1 入 侵 保 护 状态 页 面 


Potentially Bad Traffic (index of /cgi-bin/ response) 

Successful Administrator Privilege Gain (Microsoft cmd 2123 

Potentially Bad Traffic (command error) 

Potentially Bad Traffic (oracle one hour install) 

Attempted information Leak (403 Forbidden) 

Potentially Bad Traffic (command completed) 

Successful User Priviege Gain (successful cross ste 2412 

Successful Administrator Privilege Gain (successful go 1810 

‘Successful Administrator Privilege Gain (successful ка 1901 

Potentially Bad Traffic (directory listing) 1292 

Unsuccessful User Privilege Gain (rexec username too 2104 

Misc Attack (successful gobbles ssh explog uname) 1811 
EEZSTEHI-424795825^*8 


m= m = = = m m m m =ë m Ë 
SSSSSSSSSSSSZ 


X XXXXXXXXXxx 


164.12 24.0/24 64.12 25.0/24 64.12 26.14/24,64.12 28.0/24,6- Addresses of possible AOL instant Messaging 
80 Port that HTTP servers run on 

SHOME_NET Addresses of possible local HTTP servers 
1521 Port that Oracle servers run on 

SHOME_NET Addresses of possible local SMTP servers 
‘any Addresses of local SOL servers 

2 Port that SSH servers run on 

ЅНОМЕ МЕТ Addresses of possible local telnet servers 


X x RK KK Xxx 


图 9-2 入 侵 保 护 规则 页 面 


其 中 规则 的 含义 如 下 所 示 。 

(1) 分 类 : 根据 保护 的 内 容 , 把 所 有 的 入 侵 保 护 规则 分 为 多 个 大 类 ,如 web-iis.web-php 
等 。 

(2) 阻止 : 规则 的 动作 ,阻止 所 有 匹配 此 条 规则 的 网 流 。 
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(3) 日 志 : 规则 的 动作 ,记录 所 有 匹配 此 条 规则 的 网 流 。 

Са) 描述 : 规则 描述 。 

变量 中 配置 在 规则 中 使 用 的 全 局 变量 。 

单 击 “ 添 加 ”“ 编 辑 " 和 “删除 ”按钮 可 以 分 别 添 加 新 规则 、 更 新 规则 和 删除 规则 。 其 编辑 
界面 如 图 9-3 所 示 。 在 签名 中 输入 规则 的 表达 式 , 用 以 匹配 网 流 。 变 量 的 添加 、 编 辑 与 此 


类 似 。 


图 9-3 入 侵 保 护 规则 编辑 页 面 


3. 事件 日 志 
单 击 “ 事 件 日 志 ” 选 项 卡 显 示 入 侵 保护 的 规则 列表 ,如 图 9-4 所 示 , 其 显示 所 有 匹配 动作 


为 日 志 的 网 流 。 


图 9-4 入 侵 保 护 日 志 页 面 


注意 : 入 侵 保 护 的 规则 能 够 通过 网 络 自动 更 新 ,用 户 一 般 采 用 默认 配置 即 可 。 
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9.2 Wi эй 毒 


9.2.1 功能 描述 


Untangle UTM 防 病毒 模块 基于 一 个 开源 的 病毒 扫描 器 一 一 AntiVirus。 防 病毒 模块 
具有 高 速 和 准确 的 特点 。 

防 病毒 模块 具有 以 下 功能 。 

(1) 检测 病毒 .蠕虫 和 木马 。 

(2) 扫描 压缩 文件 ,如 ZIP, RAR, Tar, Gzip, Вар, MS OLE2, MS Cabinet 文件 、 MS 
CHM 和 MS SZDD “ 


9.2.2 具体 配置 


在 Untangle UTM 主 界面 的 机 架 中 单 击 “ 防 病毒 "选项 ,进入 “ 防 病 毒 * 的 配置 界面 。 

1. 针对 Web 的 病毒 扫描 

单 击 互联 网 (Web) 选 项 卡 ,其 界面 如 图 9-5 所 示 。 清 除 复 选 框 或 选中 复 选 框 可 以 禁用 / 
启用 以 下 设置 。 

(D 扫描 HTTP. 是 否 要 扫描 HTTP 协议 。 

(2) 文件 扩展 名 : 配置 扫描 HTTP 协议 的 文件 类 型 。 用 户 可 以 自行 添加 和 删除 。 

(3) MIME 类 型 : 配置 扫描 的 MIME 类 型 ,用 户 可 以 自行 添加 和 删除 。 

(4) HTTP 协议 允许 断 点 续 传 功能 : 当 此 功能 开启 时 ,Untangle UTM 将 无 法 对 传输 
的 文件 进行 病毒 扫描 。 当 HTTP 进行 断 点 续 传 时 ,包含 病毒 的 文件 可 以 在 多 次 连接 中 进行 
传输 ,而 Untangle UTM 的 服务 器 传输 只 能 看 到 部 分 文件 ,而 不 能 执行 完整 扫描 。 


E 9-5 防 病 毒 组 件 “ 互 联网 ”选项 卡 
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2. 针对 电子 邮件 的 病毒 扫描 

单 击 “ 电 子 邮件 ”选项 卡 ,如 图 9-6 所 示 。 根 据 配 置 需求 ,选择 扫描 的 E-mail 协议 类 型 ， 
协议 可 以 选择 的 动作 如 下 。 

(1) 扫描 SMTP/POP3/IMAP: 当 该 复 选 框 被 选中 ,Untangle UTM 将 对 两 个 方向 上 
的 电子 邮件 进行 病毒 扫描 ,除非 有 自 定义 策略 来 覆盖 这 些 策略 。 

(2) 删除 感染 : 删除 感染 的 电子 邮件 。 

(3) 允许 通过 : 放行 所 有 的 电子 邮件 。 

(4) 阻止 邮件 : 阻 断 包 含 病毒 的 E-mail 网 流 。 


图 9-6 防 病 毒 电 子 邮 件 选项 卡 


3. 针对 FTP 的 病毒 扫描 
单 击 FTP 选项 卡 ,如 图 9-7 所 示 。 根 据 配置 需求 ,清除 复 选 框 或 选中 复 选 框 禁 用 /启用 
以 下 设置 。 


[ cun сыро | «re | ro Генев 
HEFT 
~^ 高 级 设置 


禁止 FTP 中 断后 再 继续 
PERRE: [90] 


病毒 防护 签名 最 后 更 新 于 ; 2009-12-18 6:46:38 am 


图 9-7 防 病毒 FTP 选项 卡 
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(1) 扫描 FTP: 是 否 扫描 FTP。 因 为 当 人 允许 FTP 下 载 断 点 续 传 允许 的 话 , 包 含 病 毒 的 
文件 可 能 通过 多 个 连接 进行 传输 ,而 Untangle UTM 只 能 对 文件 的 部 分 内 容 进行 病毒 扫 
描 , 而 不 是 对 整个 文件 进行 完整 地 扫描 。 

(2) 扫描 速率 (百分比 ): 这 是 一 项 高 级 功能 ,用 以 控制 文件 相对 于 扫描 的 下 载 速 率 。 
作为 一 个 高 级 功能 ,用 户 不 应 该 改变 这 个 选项 .除非 在 Untangle UTM 的 技术 支持 下 。 

4. 事件 日 志 

单 击 “ 事 件 日 志 ” 选 项 卡 显示 扫 病毒 的 日 志 信 息 ,如 图 9-8 所 示 。 可 以 在 左下 角 选 择 框 
中 选择 显示 类 型 ,包括 所 有 事件 、 被 感染 事件 .HTTP 事件 .FTP 事件 .SMTP/IMAP 事件 
和 POP3 事件 。 


Fee ace ee ME === — 
|| zmm we» | sree | FP | sens | 


所 有 事件 + Qs ens N q x1 xix b i 
Ose 


图 9-8 “事件 日 志 ” 选 项 卡 


9.3 Bi X № 


9.3.1 功能 描述 


Untangle UTM 防火 墙 组 件 提供 传统 的 防火 墙 功能 ,基于 规则 进行 阻 断 和 记录 。 尽 管 
“防火 墙 ?一 词 已 经 发 展 到 包括 许多 功能 ,但 Untangle UTM 防火 墙 仍 是 用 于 阻 断 流 量 的 传 
统 防 火 墙 。 其 他 功能 如 端口 转发 或 协议 拦截 ,将 由 其 他 组 件 提供 。 

Untangle UTM 防火 墙 使 用 简单 的 规则 列表 来 判定 是 否 拦截 或 记录 的 流量 。 每 次 防火 
墙 检测 到 会 话 时 ,列表 中 的 规则 将 被 逐一 匹配 。 防 火 墙 将 采纳 第 一 个 匹配 成 功 的 规则 对 应 
的 动作 。 

防火 墙 规则 以 下 列 条 件 组 合 为 基础 。 

(1) 流量 类 型 (传输 层 协议 ) 。 

(2) 源 接口 。 

(3) 目标 接口 。 

(4) 源 地 址 。 

(5) 目标 地 址 。 

(6) 源 端口 。 
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CD 目标 端口 。 
9.3.2 具体 配置 


在 UTM 主 界面 的 机 架 中 单 击 防火 墙 的 配置 ,进入 防火 墙 的 配置 界面 。 
1. 规则 

单 击 “ 规 则 ?选项 卡 ,界面 如 图 9-9 所 示 ,显示 当前 的 所 有 规则 。 

CD 启用 : 规则 是 否 启 用 。 


El < Beck and bg at ncomng ratte destned ts por 21 (FTP) 
Él Beck at TCP vatte tom 1230 netmask 255 255 2850 
Ю Accept andiog attrac to he range 1231-12310 rom ports 00-5000 


图 9-9 防火 墙 规则 页 面 


可 以 添加 、 编 辑 和 删除 规则 。 防 火 墙 规则 编辑 页 面 如 图 9-10 所 示 。 


图 9-10 防火墙 规 则 编辑 页 面 
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图 9-10 


CD 启用 规则 : 规则 是 否 启用 ,如 果 启 用 则 勾 选 。 


中 各 字段 含义 如 下 。 


(2) 描述 : 规则 描述 。 

(3) 动作 : 通过 或 者 阻止 。 

(4) HE: 如 果 要 记录 则 勾 选 。 
(5) 数据 流 类 型 : UDP、TCP、UDP 和 TCP、 所 有 流 。 


(6) 源 接口 和 目的 接口 
(7) 源 地 址 和 目的 地 址 
(8) 源 端口 和 目的 端口 


: 网 流 的 设备 接口 。 
: 网 流 地 址 。 
: 网 流 端 口 。 


2. 使 用 防火 墙 
网 络 管理 员 可 以 根据 需要 构建 防火 墙 规则 ,默认 为 所 有 会 话 都 是 通过 防火 墙 的 。 
当 Untangle UTM 被 配置 成 为 NAT 网 关 设 备 , 或 者 以 透明 模式 接 人 到 其 他 NAT 网 
关 之 后 时 ,所 有 除 端 口 转发 的 规定 会 话 以 外 的 连 人 会话 都 将 被 阻 断 。 此 时 ,防火墙 组 件 就 不 
必 作 用 于 连 和 会话, 但 仍 可 作用 于 连 出 会 话 。 
表 9-1 是 Untangle UTM 防火 墙 的 几 种 常见 应 用 场景 。 
表 9-1 Untangle UTM 防火 墙 的 几 种 常见 应 用 场景 


Ж Ж 


йй Ж 


设 置 


阻 断 除 特定 
流量 以 外 的 
所 有 流量 


本 场景 中 ,除了 特定 的 配置 为 允许 的 流量 ,所 
有 流量 都 将 被 阻 断 。 这 是 最 安全 的 应 用 方式 ， 
但 也 要 求 更 多 维护 ,也 更 有 可 能 带 来 问题 


将 默认 动作 (最 后 一 条 规则 ) 设 置 为 阻 断 , 然 
后 添加 指定 允许 的 规则 。 通 常 需要 添加 多 
许 的 规则 包括 DNS、 网 页 和 其 他 协议 等 连 出 
会 话 规则 ,以 及 需要 的 其 他 连 入 会 话 规则 


关闭 特定 的 
端口 


本 场景 中 ,大 多 数 流量 是 通过 的 ,但 防火 墙 将 
用 于 明确 阻止 特定 流量 类 型 通过 某 些 端口 或 
机 器 。 这 是 一 种 常用 方案 ,因为 它 在 安全 和 维 
护 便利 中 取 了 折 中 


3. 防火 墙 规则 分 析 
防火 墙 以 规则 为 基础 匹配 会 话 和 连接 。 当 检测 到 新 的 会 话 时 ,防火 墙 将 逐一 匹配 规则 ， 
网 则 中 的 所 有 条 件 时 ,规则 匹配 成 功 。 防 火 墙 将 应 用 最 先 匹配 成 功 的 规则 所 对 
应 的 动作 ,如 果 没 有 规则 匹配 成 功 ,防火 墙 将 采用 默认 规则 。 

每 条 规则 将 比较 流量 类 型 (传输 层 协议 )`. 源 接口 和 目标 接口 ` 源 地 址 和 目标 地 址 以 及 源 
端口 和 目标 端口 ,具体 可 参阅 表 9-2. 


表 9-2 比较 的 名 称 及 描述 


当 会 话 满足 


将 默认 动作 (最 后 一 条 规则 ) 设 置 为 通过 ,为 
特定 要 阻 断 流量 创建 规则 


比较 的 名 称 描 述 
流量 类 型 可 选择 类 型 包括 TCP .UDP. TCP 和 UDP、 任 意 
源 接 口 发 起 会 话 请 求 的 一 端的 接口 ,可 以 选择 外 部 接口 、 内 部 接口 . DMZ、 虚拟 专用 网 (VPN) 等 
目标 接口 响应 会 话 请 求 一 端的 接口 ,可 选 同 上 

发 起 会 话 请 求 一 方 的 IP ЖЛЕ ІР 地 址 分 为 五 类 ,“ 任 意 ” 表 示 任 意 地 址 ,1. 2. 3. 4 表示 单一 
源 地 址 也 地 址 ,“1. 2. 3.4,1.2.3.5,1.2.3.6” 表 示 多 个 耳 地 址 ,1. 2.3. 4—1. 2. 3. 100 表示 某 IP 


地 址 段 ,1. 2. 3. 4/24 表示 某 子 网 内 的 IP 
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比较 的 名 称 d Ж 
目标 地 址 响应 会 话 请 求 一 方 的 IP Hb ht ,书写 规则 同上 


发 起 会 话 请 求 一 方 的 端口 ,端口 分 为 四 类 ,任意 ?表示 任意 端口 ,80 表示 单一 端口 “80， 
81,82” 表 示 多 个 端口 ,80 一 89 表示 端口 段 


源 端口 


目标 端口 响应 会 话 请 求 一 方 的 端口 ,书写 规则 同上 


注意 : 防火 墙 只 匹配 连接 ,而 不 是 匹配 报 文 。 如 果 连 接 判 定 为 通过 ,该 连接 中 的 所 有 报 
文 将 自动 通过 ,而 不 会 再 进行 匹配 。 

4. 构建 规则 集 

对 于 每 个 新 连接 ,规则 列表 都 是 从 第 一 条 开始 匹配 ,直到 匹配 成 功 。 这 使 管理 员 可 以 小 
心地 安排 规则 顺序 以 创建 详细 的 防火 墙 策 略 。 例 如 ,第 一 条 规则 是 允许 来 自 192. 168. 1. 10 
的 SSH 流量 ,第 二 条 规则 是 阻 断 所 有 SSH 流量 ,那么 该 规则 集 的 结果 就 为 : 除了 来 自 192. 
168. 1. 10 的 可 以 通过 外 ,其 他 的 SSH 连接 全 部 被 阻 断 。 

注意 : 可 以 通过 上 下 拖 提 来 调整 规则 的 先后 顺序 。 

5. 事件 日 志 

单 击 “ 事 件 日 志 ” 选 项 卡 显示 扫 病 毒 的 日 志 信息 ,如 图 9-11 所 示 。 


图 9-11 防火 墙 日 志 页 面 


9.4 协议 控制 


9.4.1 功能 描述 


该 模块 用 于 应 用 层 流量 管理 ,特别 是 针对 P2P 应 用 ,游戏 的 识别 与 控制 。 到 目前 为 止 ， 
已 经 支持 实际 的 主流 协议 达 100 种 以 上 。 其 在 精确 识别 协议 , 即 对 应 用 分 类 的 基础 上 ,根据 
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用 户 自 定义 策略 ,提供 灵活 方便 的 协议 控制 管理 机 制 ,如 用 户 能 够 根据 需求 自行 添加 协议 规 
则 ,记录 或 者 阻止 协议 。 


9.4.2 具体 配置 


1. 阻挡 或 者 记录 协议 

协议 控制 通过 设置 能 够 阻 断 指定 的 协议 ,而 不 管 其 端口 的 变化 。 系 统 默认 的 配置 是 放 
行 所 有 协议 , 仅 记录 即时 通信 协议 (IM)。 协 议 控 制 通过 特征 码 能 够 在 所 有 端口 上 识别 协 
议 。 当 前 很 多 协议 通过 端口 阻 断 ( 如 IM、P2P 等 ) 难 以 通过 传统 的 防火 墙 ,因为 它们 大 多 采 
用 了 端口 跳 转 技术 , 即 当 客户 端 在 其 默认 端口 多 次 与 服务 器 连接 失败 后 ,其 将 转 至 连接 80 
或 者 25 端口 。 这 两 个 端口 一 般 用 于 HTTP 和 E-mail 协议 ,是 不 能 阻 断 的 。 而 本 系统 能 够 
有 效 识别 协议 的 端口 跳 转 ,成 功 阻 断 和 记录 该 协议 的 每 个 连接 。 

用 户 可 以 按照 需求 配置 阻 断 特定 协议 的 流量 ,包括 进入 或 连 出 保护 网 络 的 所 有 流量 。 
系统 默认 配置 中 , 列 出 了 常见 的 100 多 种 协议 ,如 图 9-12 所 示 。 用 户 也 可 以 对 某 种 协议 采 
用 记录 的 方式 ,而 该 协议 信息 的 日 志 将 可 在 报表 中 审阅 。 如 果 用 户 需 要 查看 网 络 内 部 是 否 
有 人 在 使 用 文件 传输 (FTP) 协 议 , 对 FTP 协议 配置 为 记录 ,然后 查看 日 志 即 可 。 


| 协议 列表 | Pores | 
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图 9-12 协议 控制 配置 
2. 用 户 自 定 义 协 议 


如 果 系 统 中 并 不 支持 用 户 想 控制 的 某 种 协议 ,用 户 可 以 通过 界面 自行 添加 协议 特征 , 进 
行 阻 断 或 者 记录 。 用 户 自 定 义 协议 控制 如 图 9-13 所 示 。 


| Instant Messenger 
| MySpace IM 
加 


MySpace chat dient 


^Wogin2.* finas 


9-13 ”用户 自 定义 协议 控制 
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3. 事件 日 志 

协议 控制 事件 日 志 包 括 以 下 内 容 。 

CD 时 间 戳 : 事件 发 生 的 时 间 。 

(2) 动作 : 是 该 流量 采取 的 动作 , 阻 断 或 者 记录 。 
(3) 客户 端 : 该 流量 的 客户 端的 IP 地 址 。 

(4) 请 求 : 请 求 的 内 容 。 

(5) 动作 原因 : 部 署 到 该 流量 的 规则 。 

(6) 服务 端 : 该 流量 的 服务 端的 IP 地 址 。 

协议 控制 事件 日 志 的 界面 如 图 9-14 所 示 。 


默认 机 要” 协议 


Е 


une | зена | 


图 9-14 协议 控制 事件 日 志 


9.5 服务 质量 


9.5.1 功能 描述 


服务 质量 (QoS) 是 带宽 和 时 延 的 折 中 ,一 般 来 说 越 多 的 带宽 利用 率 , 延 时 就 越 高 ,而 低 
带宽 利用 率 , 则 有 较 低 的 时 延 。 本 模块 通过 为 流量 设置 不 同 的 优先 级 ,将 带宽 和 时 延 控制 在 
合理 范围 内 。 


9.5.2 具体 配置 


1. QoS 策略 
用 户 可 以 通过 以 下 内 容 为 流量 配置 QoS 策略 。 
(1) 端口 。 
(2) 协议 。 
(3) IP 地 址 。 
流量 的 优先 级 越 高 ,系统 处 理 该 流 就 越 迅 速 。 本 系统 能 够 有 效 实现 以 下 几 点 。 
(1) 为 关键 服务 (如 VoIP) 提 供 足 够 的 带宽 。 
(2) 降低 时 间 敏 感 业务 的 时 延 ,如 VoIP、SSH 等 ,以 提高 用 户 体验 。 
(3) 在 多 个 用 户 之 间 带 宽 公平 分 配 ,防止 被 少数 用 户 抢占 所 有 带宽 。 
Са) 使 用 户 充分 使 用 有 限 的 带宽 ,而 不 必 通 过 升级 网 络 带宽 来 改善 网 络 状 况 。 
(5) 当 网 络 中 发 生 拥塞 ,本 模块 可 以 通过 配置 ,保证 关键 业务 带宽 需求 。 
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2. 默认 规则 

本 模块 提供 多 种 默认 的 规则 ,分 为 以 下 两 种 。 

CD 不 可 编辑 : Ping, TCP ACK 和 游戏 。 用 户 不 能 编辑 这 些 默 认 规则 ,因为 它们 包含 
大 量 的 子规 则 ,用 户 难 以 正确 配置 ,所 以 系统 预先 自动 配置 这 些 规则 ,但 用 户 可 以 设置 这 些 
规则 的 优先 级 。 

(2) 可 编辑 : VolP.DNS.SSH 等 。 用 户 也 可 以 自行 编辑 默认 的 规则 。 

3. 不 可 编辑 规则 

СТ) 在 导航 栏 中 选择 配置 ~QoS。 

(2) 指定 不 可 编辑 规则 的 速度 和 优先 级 。 

QoS 配置 如 图 9-15 所 示 。 


ee 
Qos E 
BER: 
限制 下 载 为 : [80% |x] 
TRbI E ESOS: [95% 图 
Ping 优 先 级 : жа |x 
AKRAB: 7] 
游戏 优先 级 : um IY. 
带宽 (1500 kbps Ri. 384 kbps Ef) 
se | кшш | таяж m m 
外 部 网 口 WS CAM) 1500 kbps 384 kbps 


图 9-15 QoS 配置 


QoS 中 的 字段 名 称 及 描述 如 表 9-3 所 示 。 


表 9-3 QoS 中 的 字段 名 称 及 描述 


QoS 中 的 字段 名 称 d ж 

已 启用 启用 或 者 停止 QoS 功能 

下 载 带宽 用 户 从 ISP 的 最 大 下 载 带 宽 

限制 下 载 为 实际 下 载 带宽 占 最 大 下 载 带宽 的 比例 ,推荐 配置 为 80% ~90% 
上 传 带 宽 用 户 上 传 的 最 大 带宽 


限制 上 传 带宽 为 | 实际 上 传 带宽 宽 与 最 大 上 传 带宽 的 比例 ,推荐 配置 为 90%~95% 


Ping 优先 级 ICMP 请 求 协议 的 优先 级 。 默 认 配 置 为 普通 

ACK 优先 级 ACK 确认 的 优先 级 ,其 与 下 载 速 度 密 切 相关 ,提高 其 优先 级 能 够 提高 下 载 速 度 和 VoIP 
等 协议 的 响应 速度 。 默 认 配 置 为 高 

游戏 优先 级 默认 规则 包含 PS3, Wii, XBoX Live, Microsoft DirectX gameing 等 协议 ,默认 配置 为 


普通 
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4. 可 编辑 规则 
用 户 通过 选择 “ 开 " 复 选 框 ,激活 默 认可 编辑 规则 ,如 图 9-16 所 示 。 


REC BOKRR SME OHCPRSH ОМИ QoS Bay 
Qos 规 则 ^ 
xe || 

Pm | eza we ттт" 

Г A = VoP (SP) Traffic ^ Im | 

回 | 高 VoP (AX2) Traffic ES 18 

回 = DNS Traffic > Im 

m m ж SSH Traffic Ф їй | 


图 9-16 QoS 规则 编辑 界面 


单 击 “ 增 加 ”按钮 ,添加 或 者 编辑 规则 。 
对 于 某 条 规则 ,用 户 可 以 从 以 下 条 件 设置 ,如 表 9-4 所 示 。 


表 9-4 名 称 及 描述 

名 称 描 述 

目的 地 址 流量 的 目的 地 址 ,如 果 不 填 ,表示 匹配 所 有 的 流量 

目的 为 本 地 流 的 目的 为 本 机 

目的 端口 流 的 目的 端口 

协议 流 的 网 络 协 议 , 此 处 只 简单 地 设置 了 7 种 常见 协议 

源 地 址 流量 的 源 地 址 ,如 果 不 填 , 表 示 匹 配 所 有 的 流量 

源 接口 系统 接收 流 的 网 络 接口 有 效 值 为 外 口 、 内 控 和 DMZ 网 络 接口 
源 端 口 流 的 源 端 口 


还 可 以 设置 一 条 新 规则 ,参见 图 9-17。 


VoIP (SIP) Traffic 


图 9-17 设置 一 条 新 规则 
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9.6 虚拟 专用 网 


9.6.1 功能 描述 


豪 讯 虚拟 专用 网 Untangle VPN 支持 Site-to-Site 和 Client-to-Site 配置 。 当 创建 一 个 
VPN site 和 客户 端 时 ,VPN 为 每 个 用 户 创建 一 个 定制 可 执行 的 OpenVPN 客户 端 安 装 程 
序 ,客户 端 安装 程序 中 包含 该 客户 端 认 证 和 配置 信息 。 用 户 只 需要 简单 安装 客户 端 安装 程 
序 就 可 以 了 。 客 户 端 安装 程序 支持 Windows Vista/ Windows 7, Linux 和 UNIX 等 操作 
系统 。 

一 个 虚拟 专用 网 (VPN) 是 一 个 远程 主机 或 网 络 和 本 地 网 络 之 间 的 通过 不 安全 通路 上 
(如 互联 网 ) 建 立 的 安全 连接 。VPN 连接 包括 客户 端 (Client) 和 服务 端 (Server)。Untangle 
UTM 配置 为 VPN 服务 器 ,允许 远程 客户 端 或 站 点 连接 到 内 部 网 络 资源 。 

1. VPN 服务 器 和 远程 VPN 客户 端 (软件 ) 

当 远 程 计算 机 客户 端 连接 到 VPN 服务 器 时 ,软件 УРМ 客户 端 和 服务 器 建立 了 一 条 加 
密 通 信人 信道。 每 个 VPN 客户 端 通过 唯一 的 安全 密 钥 向 服务 器 认证 身份 ,这 样 服务 器 就 可 
以 保护 网 络 资源 免 受 不 信任 网 络 的 访问 。VPN 连接 允许 远程 的 客户 端 驻 留 在 不 安全 的 网 
络 中 ,然而 依然 可 以 访问 VPN 服务 器 之 后 的 受 保护 的 资源 ,如 图 9-18 所 示 。 


Internet 


图 9-18 UTM 将 VPN 作为 网 桥 工作 模式 示意 图 


2. VPN 服务 器 和 远程 VPN 站 点 (硬件 ) 

当 整 个 远程 网 络 连接 到 VPN 服务 器 时 ,一 个 VPN 站 点 代表 了 在 受 保护 网 络 中 许多 单 
独 的 主机 。 这 种 配置 是 最 常见 的 ,如 远程 办 公 , 其 中 很 多 员工 需要 加 入 公司 总 部 的 受 保护 网 
络 中 。 当 一 组 计算 机 或 网 络 与 服务 器 建立 了 VPN 连接 时 ,这 组 计算 机 就 称 为 一 个 站 点 。 
Untangle UTM 可 以 作为 一 个 远程 站 点 ,与 男 外 一 个 远程 位 置 Untangle UTM 建立 桥接 ， 
如 图 9-19 所 示 。 


9.6.2 具体 配置 


1. BADR 
每 一 个 要 和 VPN 服务 器 建立 连接 的 计算 机 必须 要 安装 密 钥 , 这 就 是 密 钥 分 发 。 
Untangle 服务 器 可 以 分 发 密 钥 通过 E-mail 或 者 USB 盘 的 方式 。 


жй» 


Internet 


图 9-19 Untangle UTM 作为 VPN 站 点 互联 示意 图 


2. 地 址 池 

地 址 池 是 指 Untangle VPN 分 配给 VPN 客户 端的 一 段 网 络 地 址 范围 。 这 些 IP 地 址 是 
用 于 受 保护 的 内 部 网 络 。 例 如 ,用 户 甲 建立 一 个 VPN 连接 到 Untangle VPN 服务 器 ,他 本 
来 的 IP 地 址 为 166. *. x. * 。 当 他 和 VPN 服务 器 建立 通信 以 后 ,他 又 获得 了 VPN 服务 
器 给 他 分 发 的 IP 地址 192. 1. 1. 3。 

3. 创建 VPN 的 步骤 

创建 VPN 的 步骤 如 图 9-20 所 示 。 


步 又 
(1) 进行 必要 的 安装 前 准备 工作 ， 学 习 配 置 需求 
(2) 配置 Untangle UTM 为 VPN 服 务 器 

(3) 添加 VPN 站 点 和 VPN 客 户 端 
(4) 分 发 密 钥 和 VPN 客 户 端 
(5) 配置 远程 站 点 
(6) 访问 网 络 资源 ， 测 试 创建 的 VPN 


图 9-20 VPN 配置 步 又 


D 配置 VPN 服务 器 之 前 的 步骤 

在 试图 连接 分 公司 到 总 公司 ,或 者 提供 客户 端 访问 虚拟 专用 网 络 时 ,终端 和 地 址 池 必 须 
是 相同 的 IP 地 址 机 制 。 如 果 终 端 主机 不 满足 该 条 件 ,需要 重新 修改 机 器 的 DHCP 服务 器 
或 者 任何 一 个 静态 IP 地 址 。 

例如 ,地 址 池 为 172. 16. 16.0,VPN 服务 器 的 内 部 IP 地 址 为 192. 168. 2. 1,VPN 站 点 
的 内 部 IP 地 址 是 10. 0.0.1。 则 VPN 服务 器 配置 示意 图 如 图 9-21 所 示 。 

2) 配置 Untangle UTM 为 VPN 服务 器 

设置 虚拟 专用 网 的 第 一 步 是 配置 VPN 服务 器 。 该 过 程 使 用 OpenVPN 设置 向 导 来 配 
置 Untangle UTM Jy VPN 服务 器 ,这 样 的 话 VPN 客户 端 和 VPN 站 点 可 以 连接 到 用 户 的 
受 保护 网 络 中 。 

CD 单 击 配置 为 VPN 服务 器 ,启动 VPN 设置 向 导 , 这 时 VPN 欢迎 页 面 出 现 ,如 图 9-22 
所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,出 现 证 书页 面 。 

(3) 指定 公司 和 位 置信 息 , 如 图 9-23 所 示 。 单 击 “ 下 一 步 " 按 钮 ,系统 将 弹出 输出 页 面 。 
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s jx 


192.168.2.1|/ 24 


图 9-21 VPN 服务 器 配置 示意 图 


欢迎 来 到 OpenVPN 的 安装 向 导 ! 
本 向 导 将 首 助 人 完成 初 栓 设置 以 及 本 轩 OpenVPN 成 为 一 个 VPN 营 由 选择 服务 器 。 


Wé: 结束 本 向 号 将 导 到 您 之 前 的 OpenVPN 设 置 会 被 新 设置 所 媳 钥 。 您 榴 丢失 所 有 之 前 的 设置 ! 


图 9-22 VPN 配置 向 导 


9-23 VPN 配置 向 导 步 又 1 
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(4) 加 入 另外 的 输出 ,编辑 默认 输出 ,或 接受 默认 。 默 认 情 况 下 ,VPN 输出 整个 网 络 。 

(5) 如 果 你 允许 接受 默认 设置 使 得 VPN 用 户 可 以 访问 整个 网 络 ,在 主机 /网 络 名 称 中 
填写 资源 的 描述 名 称 。 

(6) 如 果 你 仅 人 允许 VPN 用 户 可 以 访问 单 台 机 器 ,在 ІР 地 址 文本 框 中 和 netmask 文本 
框 中 说 明 计算 机 的 IP 地 址 和 255. 255. 255. 255 的 子 网 掩 码 ,然后 在 主机 /网 络 文本 框 中 填 
写 资 源 的 描述 名 称 , 如 图 9-24 所 示 。 


pR- 导出 
LOR + BATE EER RHEE VPN AIPATU 
жайат. SINERGIE ss. 


图 9-24 VPN 配置 向 导 导 出 配置 


(7) 单 击 “下 一 步 ? 按 钮 。 
(8) 单 击 “ 关 闭 ” 按 钮 来 完成 设置 ,如 图 9-25 所 示 。 这 样 Untangle UTM 就 可 以 配置 为 
VPN 服务 器 了 。 


状态 | =P | 对 出 的 主机 和 网 络 | gas | 事件 日 


| о Emayensss | 配置 0penVPN， 运 程 用 户 和 网 络 可 以 连接 到 答 出 的 主机 和 了 网络。 


| о rms | 配置 OpenVPN， 连 接 到 远程 OpenVPN 服 务 器 并 可 访问 输出 的 主机 和 网 络 。 


图 9-25 VPN 配置 完成 


3) 添加 VPN 站 点 和 VPN 客户 端 

配置 完 VPN 服务 器 后 ,我 们 来 配置 VPN 站 点 和 VPN 客户 端 。 
(1) 在 VPN 中 单 击 高 级 选项 。 

(2) 在 默认 地 址 池 中 加 入 至 少 一 个 地 址 池 , 单 击 “下 一 步 ?按钮 。 
(3) 进行 下 一 步 操作 。 
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(4) 配置 VPN 客户 端 ,提供 VPN 客户 端 访问 你 创建 的 地 址 池 ,如 图 9-26 所 示 。 


же | erm |аниме | sas | secs 


图 9-26 配置 VPN 客户 端 


(5) 配置 VPN 站 点 ,如 图 9-27 所 示 ,提供 VPN 站 点 访问 你 创建 的 地 址 池 。 


图 9-27 配置 VPN 站 点 


4) 分 发 密 钥 和 VPN 客户 端 

为 了 使 VPN 客户 端 和 VPN 站 点 能 够 访问 VPN 服务 器 ,需要 站 点 密 钥 。VPN 客户 端 
也 需要 一 个 客户 端 。 

生成 密 钥 和 分 发 VPN 客户 端的 步骤 如 下 。 

(1) 在 VPN 中 单 击 VPN 客户 端 选项 。 

(2) 滑动 到 VPN 客户 端 位 置 或 VPN 站 点 位 置 。 

(3) 在 分 发 列 中 , 单 击 分 发 客户 端 ,这 时 出 现 了 分 发 客户 端 窗口 ,如 图 9-28 所 示 。 

(4) 在 VPN 客户 端 ,指定 用 户 的 电子 邮件 地 址 和 发 送 电子 邮件 按钮 。Untangle UTM 
发 送 电子 邮件 给 用 户 一 个 连接 以 下 载 密 钥 和 客户 端 。 

5) 配置 Untangle UTM 为 远程 VPN 站 点 

撤销 用 户 的 暂时 VPN 访问 步骤 如 下 。 

(1) 在 VPN 中 单 击 显示 设置 按钮 。 

(2) 单 击 VPN 客户 端 选 项 。 

(3) 在 VPN 客户 端 区 域 中 ,清除 enabled 选项 框 ,并 单 击 “ 保 存 ” 按 钮 。 

撤销 用 户 的 永久 VPN 访问 步骤 如 下 。 

(1) 在 VPN 中 单 击 显示 设置 按钮 。 

(2) 单 击 VPN 客户 端 选项 ,删除 对 应 用 户 账户 的 行 。 

(3) 生成 新 的 客户 端 和 密 钥 , 转 分 发 密 钥 和 УРМ 客户 端 。 

VPN 客户 端的 事件 日 志 如 表 9-5 所 示 。 


| же | xen | suszneme | zas | sees | 
урн” 
Oan 

Bam 


通过 电子 邮件 分 发 
单 二 "发送 邮 件 以 发 送 邮件 到 电子 邮件 地 址 未 重新 恢复 OpenV 
电子 邮件 地 址 : 


| 发 送 电 于 部 件 | 


图 9-28 分 发 客户 端 窗 口 


表 9-5 VPN 客户 端的 事件 日 志 


名 Ж ж m" 名 Ж ж ж 
启动 时 间 VPN 连接 的 建立 时 间 客户 端 地 址 VPN 连接 客户 端的 IP 地 址 
终止 时 间 VPN 连接 的 终止 时 间 发 送 的 字 节 数 | 连接 发 送 的 字 节 数 (KB) 
客户 端 名 字 VPN 客户 端的 名 字 接收 的 字 节 数 | 连接 接收 的 字 节 数 (KB) 
9.7 网 页 过 滤 


9.7.1 功能 描述 


网 页 过 滤 模 块 的 主要 功能 是 通过 过 滤 含有 不 适当 内 容 的 网 络 流量 的 方式 来 保护 网 络 。 
不 同 于 其 他 软件 ,这 一 功能 所 采取 的 过 滤 标 准 是 根据 用 户主 观 设置 的 。 网 页 过 滤 模块 过 滤 
所 依据 的 参数 主要 是 分 类 数据 ,URL 地 址 、MIME 类 型 .文件 类 型 。 网 页 过 滤 面 板 如 
图 9-29 所 示 。 


eux 
—|ensxm 
| eX GE 


at ENDO © 


图 9-29 网 页 过 滤 面 板 
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9.7.2 配置 说 明 


1. 拦截 指定 网 址 的 网 络 内 容 

默认 的 拦截 列表 可 以 将 根据 用 户主 观 分 类 设置 出 来 的 不 受 欢 迎 内 容 大 部 分 拦截 。 同 样 
可 以 选择 增加 指定 的 网 址 ,使 用 过 程 如 下 。 

CD 从 网 页 过 滤 模 块 中 , 单 击 “ 拦 截 列表 ” 表 项 。 

(2) 单 击 “ 编 辑 网 址 ”按钮 。 

(3) 在 表格 左 侧 , 单 击 “ 增 加 ”按钮 。 

(4) 在 新 的 条 目 中 ,增加 你 所 需要 指定 的 URL 地 址 。 

(5) 单 击 “ 保 存 ” 按 钮 。 

注意 ; 如 果 你 暂时 不 需要 拦截 该 网 址 内 容 , 可 以 不 选择 旁边 的 复 选 框 。 

分 类 拦截 页 面 和 网 址 拦截 页 面 如 图 9-30 和 图 9-31 所 示 。 
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图 9-30 分 类 拦截 页 面 


图 9-31 网 址 拦截 页 面 


2. 放行 指定 网 址 的 网 络 内 容 

如 果 贵 公司 认为 某 一 指定 网 址 非常 有 用 ,但 同时 因为 内 容 和 分 类 的 关系 正在 被 拦截 中 ， 
或 者 你 不 再 想 要 继续 拦截 之 前 设置 的 一 个 网 址 ,你 可 以 通过 以 下 设置 方式 完成 。 

D 通过 分 类 指定 的 URL 拦截 放行 

CD 在 网 页 过 滤 模 块 中 单 击 “ 放 行列 表 ” 表 项 。 

(2) 在 网 址 区 域 中 单 击 “ 管 理 列表 ”按钮 。 

(3) 如 果 你 想 放 行 的 URL 出 现在 表格 中 ,选择 该 URL 对 应 的 放行 复 选 框 ;否则 ,如 果 
你 需要 加 入 一 条 新 的 URL. 单 击 表格 左 侧 的 增加 按钮 ,并 在 新 的 条 目 中 增加 你 所 需要 放行 
的 URL 地 址 。 

(4) 单 击 “保存 ”按钮 。 
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2) 用 户 定义 的 URL 地 址 放行 

CD 在 网 页 过 滤 模 块 中 , 单 击 "拦截 列表 ? 表 项 。 

(2) 在 网 址 区 域 中 , 单 击 “ 管 理 列表 ”按钮 。 

(3) 在 表格 中 ,选择 你 想 放行 的 已 经 存在 的 URL 地 址 ,如 图 9-32 所 示 , 取 消 “ 拦 截 ” 复 
选 框 ,或 者 简单 地 删除 该 行 条 目 。 

Са) 单 击 “ 保 存 ” 按 钮 。 


图 9-32 网址 放行 列表 


3. 放行 指定 用 户 相关 的 网 络 内容 
CD 从 网 页 过 滤 模 块 中 , 单 击 “ 拦 截 列表 ” 表 项 ;从 网 址 区 域 中 , 单 击 “ 管 理 列 表 ” 按 钮 。 
(2) 在 表格 中 单 击 “ 添 加 ”按钮 ,出 现 一 条 新 条 目 ,如 图 9-33 所 示 。 


(3) 在 IP 地 址 /范围 文本 框 中 ,指定 你 想 从 过 滤 名 单 中 免除 的 用 户 计算 机 的 TP 地 址 和 
子 网 掩 码 。 


(4) 单 击 “ 保 存 ” 按 钮 。 


图 9-33 指定 用 户 ( 地 址 ) 放 行列 表 


4. 人 允许 用 户 旁 路 指定 网 页 

一 些 单位 组 织 可 能 希望 允许 某 些 用 户 绕 过 网 页 过 滤 , 这 一 选项 在 用 户 旁 路 。 如 果 用 户 
劳 路 栏 设置 为 无 ,表示 没有 用 户 劳 路 已 拦截 的 页 面 。 但 如 果 用 户 旁 路 栏 设置 为 临时 ,用 户 将 
被 允许 旁 路 。 如 果 用 户 旁 路 栏 设 置 为 永久 和 全 局 ,那么 用 户 被 允许 旁 路 的 拦截 网 页 将 被 加 
和 人 到 永久 全 局 列表 里 。 

用 户 旁 路 最 好 结合 策略 管理 一 同 设置 ,这 样 只 有 某 一 些 可 以 被 允许 旁 路 。 设 置 如 下 。 

(1) 在 网 络 过 滤 模块 中 单 击 “ 拦 截 列 表 ? 项 。 

(2) 在 用 户 旁 路 栏 选择 无 ,临时 的 或 者 永久 和 全 局 的 ,如 图 9-34 所 示 。 


图 9-34 用 户 旁 路 选择 界面 
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(3) 单 击 “保存 ”按钮 。 

5. 依据 MIME 类 型 来 拦截 网 页 内 容 

CD 在 网 络 过 滤 模 块 中 , 单 击 * 拦 截 列表 ?选项 卡 , 再 单 击 ^MIME 类 型 ?选项 卡 , 如 
图 9-35 所 示 。 

(2) 如 果 你 想 拦截 的 MIME 类 型 出 现在 表格 中 , 则 选择 该 MIME 类 型 的 拦截 复 选 框 。 

(3) 如 果 你 需要 添加 一 个 新 的 MIME 类 型 , 单 击 表格 左 侧 的 “添加 ”按钮 ,并 在 新 出 现 
的 条 目 中 添加 你 所 需要 拦截 的 MIME 类 型 。 

(4) 单 击 “保存 ”按钮 。 


回回 回回 回回 回回 | 下 
回回 回回 回回 回回 | 加 


图 9-35 MIME 类 型 拦截 网 页 内 容 


6. 依据 文件 类 型 来 拦截 网 页 内 容 
文件 类 型 拦截 网 页 内 容 如 图 9-36 所 示 。 


阻止 
m 
m 
m 
m 
m 
m 
B 
B 
B 
ү 


pagagmggagmcgmgagE 


图 9-36 文件 类 型 拦截 网 页 内 容 


(1) 在 网 页 过 滤 模 块 中 , 单 击 “管理 列表 ?按钮 。 

(2) 如 果 你 想 拦截 的 文件 类 型 已 经 出 现在 表格 中 , 则 选择 该 文件 类 型 的 拦截 复 选 框 或 
日 志 复 选 框 或 两 者 都 选 。 

(3) 如 果 你 需要 拦截 的 文件 类 型 不 在 列表 中 , 单 击 表格 左 侧 的 “添加 ?按钮 ,并 在 新 出 现 
的 条 目 中 ,指定 你 需要 拦截 的 文件 类 型 。 

OD 单 击 “ 保 存 ” 按 钮 。 


9.8 Be di tR 


9.8.1 功能 描述 


攻击 拦截 模块 的 功能 是 用 于 以 下 几 种 方式 来 保护 网 络 。 

CD 对 所 有 Untangle UTM 服务 器 接收 到 的 数据 包 过 滤 查 毒 。 这 种 包 过 滤 清 理 功能 是 
一 个 内 嵌 固 定 功能 ,不 需要 管理 员 设 置 。 

(2) 保护 网 络 免 遭 底层 的 网 络 攻击 。 

(3) 保护 网 络 免 遭 DoS 攻击 。 

攻击 拦截 页 面 如 图 9-37 所 示 。 


活动 的 


攻击 防护 器 是 一 个 不 需要 任何 配置 的 基于 启发 式 的 入 侵 预 防 。 用 户 可 以 在 排除 项 表 中 修改 对 于 某 个 人 P 或 网 络 的 处 理 方式 。 


图 9-37 攻击 拦截 页 面 


9.8.2 抵抗 拒绝 服务 攻击 


攻击 拦截 需要 追踪 所 有 用 户 (IP 地 址 ) 的 流量 信息 ,同时 连接 数 和 数据 容量 也 要 被 监 
控 。 如 果 一 个 特定 用 户 很 明显 比 其 他 用 户 更 活跃 ,他 的 声誉 值 会 增加 。 声 誉 值 表示 为 一 个 
在 对 应 范围 内 的 数字 。 大 的 声誉 值 表示 该 用 户 在 消耗 比 其 他 节点 更 多 的 网 络 资源 (更 多 连 
接 数 ,更 多 传输 的 字 节 数 ) 。 

随 着 Untangle UTM 服务 器 的 负载 增加 ,可 能 没有 足够 的 系统 资源 来 服务 所 有 请 求 。 
不 同 于 降低 每 一 个 请 求 的 服务 速率 ,攻击 拦截 模块 只 会 对 最 高 声誉 值 的 用 户 采取 行动 。 通 
过 这 种 方式 ,占用 所 有 带宽 的 用 户 将 被 分 配 更 少 的 资源 ,同时 那些 需求 量 少 的 用 户 将 保持 固 
定 服务 性 能 级 别 不 变 。 针 对 大 声誉 值 的 用 户 攻击 拦截 模块 总 共有 三 类 可 选 行为 。 


9.8.3 ”攻击 拦截 行为 


(1) 限制 : 攻击 拦截 模块 会 限制 用 户 访问 受 保护 的 网 络 内 部 资源 ,使 用 这 一 限制 的 用 
户 会 感觉 到 网 络 性 能 会 略微 下 降 。 

(2) ER: 攻击 拦截 模块 会 丢弃 某 一 наре ee 

(3) 拒绝 : 攻击 拦截 模块 会 拒绝 某 一 用 户 的 某 一 会 话 的 数据 包 。 

ыы кк лы ee 
当 一 个 用 户 试图 针对 UTM 服务 器 保护 的 网 络 发 起 洪 泛 攻 击 ,攻击 用 户 的 声誉 值 将 增加 ,他 
的 网 络 性 能 将 从 受 限 制 的 降低 ,直到 完全 拒绝 访问 受 保护 的 资源 。 
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Untangle UTM 服务 器 所 采取 的 行为 必须 依据 用 户 的 声誉 值 。 拒 绝 用 户 的 行为 只 有 极 
端 情况 才 会 出 现 , 攻 击 拦截 模块 会 在 允许 用 户 活跃 和 关闭 该 用 户 会 话 之 间 有 明显 清晰 的 分 
界线 。 不 管 怎 么 用 ,攻击 拦截 模块 觉得 该 用 户 的 活跃 程度 达到 威胁 网 络 时 ,就 会 拒绝 他 的 会 
话 。 大 部 分 情况 下 ,限制 用 户 访问 和 丢弃 用 户 数据 包 的 行为 就 足够 保护 网 络 了 。 

攻击 拦截 模块 没有 什么 包 过 滤 杀 毒 的 设置 ,但 能 够 设置 指定 某 一 用 户 因 声誉 值 高 而 明 
显 不 同 于 其 他 节点 。 这 部 分 可 以 通过 添加 攻击 拦截 异常 部 分 完成 。 攻 击 拦截 日 志 页 面 如 
图 9-38 所 示 。 


| $ | HER | SAS | 
maB a 
| 2009-12-22 4:03:51 рт 166.111.197.193 
2009-12-22 4:03:41 pm 166.111.137.193 
| 2009-12-22 4:03:31 pm 166.111.137.193 


2009-12-22 4:03:11 pm 166.111.137.193 
| 2009-12-22 4:03:01 рт 166.111.137.193 
| 2009-12-22 4:0211 pm 166.111.137.193 

2009-12-22 4:02:01 pm 186.111.137.193 

2009-12-22 4:01:51 pm 166.111.137.193 

2009-12-22 4:01:41 pm 166.111.137.193 

2009-12-22 4:01:31 pm 166.111.137.193 

2009-12-22 3:59:20 pm 166.111.137.193 


22222222288 


图 9-38 攻击 拦截 日 志 页 面 


9.8.4 添加 攻击 拦截 排除 项 


使 用 该 异常 列表 是 用 来 标识 一 台 虚 拟 计 算 机 (IP 地 址 ) ,从 而 标识 多 于 一 个 的 物理 计算 
机 的 。 如 前 面 抵御 拒绝 服务 攻击 部 分 ,攻击 拦截 模块 会 追踪 其 网 络 内 相关 的 活跃 计算 机 。 
如 果 某 一 个 IP 地 址 代表 多 于 一 台 物 理 计 算 机 ,例如 ,采用 了 NAT 方式 ,那么 攻击 拦截 模块 
必须 知道 该 IP 地 址 ,和 否则 ,拦截 模块 会 认为 是 某 单 一 计算 机 的 异常 活跃 而 导致 拒绝 整个 网 
络 的 流量 。 具 体 的 配置 操作 如 下 。 

CD 在 攻击 拦截 模块 中 , 单 击 “设置 按钮 。 

(2) 单 击 “ 排 除 项 ”选项 卡 ,如 图 9-39 所 示 。 

(3) 单 击 “添加 ”按钮 。 

(4) 指定 你 需要 添加 的 异常 : 开启 ( 当 该 选 框 选中 ,标识 异常 规则 开启 ), 地 址 (需要 被 
指定 的 计算 机 IP 地 址 ) ,用 户 数 (该 地 址 所 表示 的 用 户 或 计算 机 数量 ,例如 ,如 果 5 个 用 户 在 
NAT 系统 后 面 , 那 该 NAT 系统 的 外 部 IP 地 址 就 需要 5 个 用 户 数 ) 。 

(5) 单 击 OK 按钮 。 


[ка mem k L | _ 
Qm 


图 9-39 添加 排除 项 页 面 
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оо 广告 拦截 


9.9.1 功能 描述 


Untangle UTM 广告 拦截 组 件 可 以 拦截 大 多 数 通 过 网 页 推送 给 用 户 的 广告 。 广 告 拦截 
组 件 使 用 可 更 新 的 过 滤 表 , 该 表 包 括 通常 被 用 于 推送 广告 的 链接 和 扩展 。 


9.9.2 具体 配置 


当 Untangle UTM 安装 后 , 它 将 下 载 配置 文件 。 该 配置 文件 由 大 量 网 站 及 网 站 扩展 组 
成 ,它们 均 已 被 发 现 为 用 于 推送 广告 。 对 于 大 多 数 用 户 来 说 ,默认 的 配置 已 经 足够 。 但 你 仍 
可 以 做 调整 ,手动 添加 过 滤 表 项 和 白 名 单 。 

1. 解除 阻止 某 个 网 页 

如 果 合 法 的 网 页 内 容 被 阻止 了 ,你 可 以 简单 地 解除 阻止 。 单 击 * 配 置 ? 进 入 广告 拦截 的 
设置 页 面 ,然后 选择 “事件 日 志 ” 查 找 被 阻止 的 相关 页 面 。 然 后 选择 过滤 器" 栏 ,找到 对 应 的 
规则 ,将 其 修改 或 禁用 ,注意 保存 你 的 修改 。 

2. 阻止 某 个 网 页 

如 果 和 希望 添加 一 条 新 的 阻止 规则 , 单 击 “ 设 置 " 进 入 广告 拦截 的 设置 页 面 ,选择 过 滤器 
栏 。 单 击 左 上 角 的 “添加 ”按钮 ,添加 新 的 过 滤 规 则 ,并 将 其 选 为 阻止 。 

3. 使 用 白 名 单列 表 

如 果 你 访问 的 某 个 网 站 被 多 个 不 同 的 规则 阻止 ,你 可 以 将 该 网 站 加 入 白 名 单列 表 。 单 
击 “ 设 置 " 按 钮 进入 广告 拦截 设置 页 面 , 然 后 选择 “通过 列表 ”选项 卡 。 单 击 管理 列表 来 添加 
站 点 (如 google. com) 和 额外 的 说 明 。 当 然 , 也 可 以 删除 曾经 添加 过 的 站 点 。 


9.10 ” 防 间 谍 软 件 


9.10.1 功能 介绍 


防 间 谍 软 件 模块 由 多 个 开源 项 目 组 成 。 防 间谍 软件 模块 检查 来 自 受 保护 网 络 中 的 
Web 请 求 ,而 后 采取 以 下 操作 。 

(1) 使 用 病毒 特征 码 检测 和 识别 特定 病毒 。 

(2) 阻止 键盘 记录 软件 。 

(3) 提供 一 个 包含 已 知 间谍 软件 网 站 的 URL 黑 名 单 。 

(4) 提供 一 个 需要 Cookies 的 网 站 的 URL 黑 名 单 。 

(5) 阻止 已 知 的 用 于 间谍 软件 的 恶意 ActiveX 控件 。 

(6) 检查 用 户 所 访问 网 站 的 IP 地 址 ,并 将 它们 与 不 受 欢迎 子 网 列表 进行 比较 。 


9.10.2 配置 说 明 


1. 解除 对 间谍 网 站 的 阻止 
如 果 在 受 保护 网 络 中 一 个 可 信用 户 需 要 访问 阻止 名 单 上 的 某 个 站 点 ,你 可 以 解除 对 这 
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个 网 站 的 阻止 ;但 是 ,为 了 保证 工作 场所 更 高 的 安全 级 别 ,Untangle UTM 不 推荐 这 么 做 。 

如 果 要 防止 某 个 网 站 被 划 为 间谍 网 站 ,可 以 将 该 站 点 添加 到 “通过 ”列表 ,或 者 使 用 本 节 
介绍 的 防 间谍 模块 的 “快速 通过 ”列表 。 如 果 要 指定 某 些 而 非 全 部 用 户 拥 有 这 些 特权 ,可 以 
为 这 些 用 户 创 建 一 个 虚拟 机 架 。 

要 解除 对 一 个 间谍 网 站 的 阻止 , 需 进行 如 下 操作 。 

COD 在 防 间谍 软件 模块 中 , 单 击 “设置 按钮。 

(2) 采取 如 下 步骤 之 一 : 

CD 如 果 和 希望 由 用 户 来 决定 使 本 人 或 他 人 或 者 全 部 用 户 开启 或 关闭 对 某 个 已 知 间谍 软 
件 网 站 的 阻止 ,可 以 指定 一 个 “快速 通过 ”列表 。 

а. 单 击 “ 阻 止 列表 ”选项 卡 。 

b. 在 用 户 旁 路 设置 中 ,选择 临时 或 永久 和 全 局 ,如 图 9-40 所 示 。 


|| mine | sere | sees | 


阻止 恶意 ActveX 安 装 
加 阻止 所 有 ActveX 
| тале 


数据 流量 
SREB 


间谍 次 件 防护 签名 已 是 最 新 更 新 :2009-12-23 7:36:15 am 


图 9-40 设置 用 户 旁 路 有 效 期 


临时 : 使 用 户 能 够 访问 间谍 软件 网 站 1 个 小 时 。 当 该 用 户 访问 间谍 软件 网 站 时 ,用 户 
会 收 到 一 条 告警 信息 通知 用 户 该 网 站 是 已 知 的 间谍 软件 网 站 。 用 户 可 以 绕 过 该 告警 并 访问 
站 点 ,或 者 选择 不 登录 该 站 点 。 如 果 用 户 绕 过 了 告警 , 防 间 谍 软件 模块 将 在 1 小 时 内 不 会 再 
向 该 用 户 发 出 告警 。 如 果 用 户 选择 不 登录 该 网 站 ,下 次 该 用 户 访问 该 站 点 时 , 防 间 谍 软 件 将 
警示 用 户 登录 该 站 点 的 风险 。 

永久 和 全 局 : 使 所 有 用 户 能 够 访问 间谍 软件 网 站 ,并 对 自己 或 所 有 其 他 人 解除 对 该 站 
点 的 阻止 。 当 用 户 访问 一 个 间谍 软件 网 站 时 ,用 户 会 收 到 一 条 告警 信息 通知 用 户 该 网 站 是 
已 知 的 间谍 网 站 。 该 用 户 可 以 绕 过 告警 并 访问 该 站 点 ,或 者 选择 不 登录 该 站 点 。 如 果 用 户 
绕 过 了 告警 , 防 间谍 软件 模块 将 不 再 向 所 有 用 户 发 出 告警 。 如 果 用 户 选 择 不 登录 该 站 点 , 防 
间谍 软件 将 持续 警告 用 户 登 录 该 间谍 软件 站 点 的 风险 。 
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© 如 果 和 希望 能 够 放行 特定 站 点 ,可 以 创建 一 个 通过 列表 。 

а. 单 击 “通过 列表 ?选项 卡 。 

b. 单 击 “ 添 加 ”按钮 ,将 会 出 现 一 个 编辑 框 ,其 中 “通过 ” 复 选 框 是 选中 的 。 

c. 在 编辑 栏 中 输入 希望 放行 的 站 点 域名 。 域 名 是 唯一 需要 填 的 部 分 。 域 名 的 格式 为 
http://domain_name, 但 是 只 识别 第 一 层 域名 。 例 如 ,如 果 在 通过 列表 中 输入 http:// 
www. untangle. com/news.Jl 4A http://www. untangle. com 下 的 所 有 路 径 都 会 被 放行 。 

注意 : 管理 员 可 以 通过 选择 或 不 选择 通过 复 选 框 来 放行 /阻止 某 个 域名 通过 。 

2. 取消 对 ActiveX 控件 的 阻止 

如 图 9-41 所 示 ,轻易 不 要 解除 对 恶意 ActiveX 控件 的 阻止 。 防 间谍 软件 模块 为 用 户 提 
供 解除 对 ActiveX 控件 的 阻止 功能 。 然 而 , Untangle UTM 建议 不 要 解除 对 任何 默认 
ActiveX 控件 的 阻止 设 定 , 因 为 这 些 都 是 已 知 的 恶意 ActiveX 控件 。 如 果 在 防 间谍 软件 模 
块 中 添加 了 任何 其 他 的 ActiveX 控件 ,你 就 可 以 使 用 “阻止 " 复 选 框 来 启动 或 禁用 该 
ActiveX 控件 ,以 保证 用 户 能 够 正确 识别 ActiveX 控件 。 


100000000-0001-1796-1138-0204019е355е 
100000000-0002-5304-0622-35еа0235778е 
00000000-0008-d357-0796-004401965d4a. 
00000000-0009-1c42-7d61-6cff050894a7 
00000000-0015-bd9c-263a-493001ba0c6c 


т 
ІСД 
m 
a 
gm 
ІСД 
a 
m 
a 
g 
m 


H4 x1 namaa b е 


图 9-41. 默认 ActiveX 控件 列表 


1) 要 阻止 其 他 ActiveX 控件 

(1) 在 防 间谍 软件 模块 中 , 单 击 * 设 置 ?选项 卡 。 

(2) 单 击 “阻止 列表 ?选项 卡 , 如 图 9-42 所 示 , 再 单 击 “ 管 理 列表 ”按钮 。 出 现 的 表格 包 
含 了 已 知 的 恶意 ActiveX 控件 ,因此 请 不 要 清空 “阻止 " 复 选 框 。 

(3) 单 击 “ 添 加 ”按钮 ,将 会 出 现 新 的 一 行 ,其 中 “阻止 " 复 选 框 是 被 勾 选 的 。 

(4) 添加 ActiveX 控件 标识 ,然后 单 击 “ 保 存 ” 按 钮 。 

2) 阻止 所 有 ActiveX 控件 

虽然 防 间 谍 软 件 模块 提供 了 一 个 已 知 恶意 ActiveX 控件 列表 ,但 这 并 不 完善 ,因为 并 非 
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用 户 信息 脚本 (Cookies) 
阻止 跟踪 和 广告 Cookies 


| 管理 列表 | 
Activex 


PBR BActeNeee 
回 阻止 所 有 ActweX ——— 


| тала | 


тале 


图 9-42 防 间谍 软件 配置 


所 有 恶意 ActiveX 控件 都 为 人 所 知 。 要 阻止 所 有 ActiveX 控件 ,进行 如 下 操作 。 
CD 在 防 间 谍 软 件 模 块 中 , 单 击 “ 设 置 " 按 钮 。 
(2) 勾 选 “阻止 所 有 ActiveX” 复 选 框 , 见 图 9-42。 
(3) 单 击 “确定 ”按钮 。 
3. 防 间谍 模块 的 时 间 日 志 
CD ERR: 事件 发 生 的 时 间 。 
(2) 行动 : 发 生 的 行动 (例如 阻止 )。 
(3) 客户 端 : 流量 的 客户 端 IP 地 址 。 
(4) 请 求 : 有 关 请 求 的 描述 (例如 http://someurl/somepath. thml) 。 
(5) 行动 原因 : 采取 行动 的 原因 (例如 在 URL 列表 中 ) 。 
(6) 服务 器 : 流量 的 服务 器 IP 地 址 。 


9.11 钓鱼 网 站 拦截 


9.11.1 功能 介绍 


钓鱼 网 站 拦截 模块 提供 两 个 反 钓鱼 和 一 个 反 域名 欺骗 保护 功能 。 

1. 电子 邮件 反 钓 鱼 保护 

钓鱼 网 站 拦截 可 以 检查 钓鱼 邮件 .欺骗 邮件 。 钓 鱼 邮件 一 般 都 会 通过 伪造 信任 用 户 邮 
件 等 欺诈 手段 来 获取 敏感 信息 ,例如 密码 和 信用 卡 信息 等 。 

2. Web 反 钓 鱼 保护 

钓鱼 网 站 拦截 使 用 谷歌 黑 名 单 来 进行 反 钓鱼 保护 ,谷歌 黑 名 单 包含 已 知 的 欺骗 网 站 。 
为 了 提高 保护 水 平 ,Untangle UTM 服务 器 随 谷 歌 黑 名 单一 起 每 6 小 时 更 新 一 次 钓鱼 网 站 
拦截 。 即 使 你 禁用 了 Untangle UTM 的 自动 跟 新 功能 ,钓鱼 网 站 拦截 也 会 接收 谷歌 黑 名 单 
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更 新 。 

如 果 你 单 击 了 钓鱼 邮件 中 的 URL 链接 ,该 链接 将 转向 某 个 非法 站 点 ,而 该 站 点 又 在 谷 
歌 黑 名 单 中 ,那么 当 你 访问 该 站 点 时 ,系统 将 会 告警 ,防止 你 进入 该 站 点 。 

对 Web 钓鱼 攻击 进行 过 滤 如 图 9-43 Bros. 


“Stee | 互联 网 (Web) | можев | 27545452 | 


贺 вмер 


注释 
鸭 鱼 防护 Web 签 名 已 是 最 后 更 新 : 2009-12-23 7:29:13 am 


图 9-43 Xf Web 钓鱼 攻击 进行 过 滤 


3. Web 仿冒 保护 

除了 对 钓鱼 邮件 和 网 站 过 滤 外 , Untangle UTM 的 钓鱼 网 站 拦截 模块 还 会 阻止 仿冒 
站 点 。 

某 些 站 点 模仿 合法 站 点 (通常 是 银行 或 电子 商务 平台 ) ,并 使 用 社会 工程 学 的 方法 来 骗 
取 用 户 的 敏感 信息 。 这 些 仿冒 站 点 通常 伪造 与 合法 站 点 很 相似 的 域名 ,以 此 来 欺骗 用 户 。 


9.11.2 配置 说 明 


1. 配置 钓鱼 邮件 扫描 
(1) 在 钓鱼 网 站 拦截 模块 中 ,采取 以 下 步骤 ,如 图 9-44 所 示 。 


GFF | звяне | тен | 二 了 全 志 | 
SMTP 
IV {3й5мтР 


9-44 选择 协议 配置 
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CD 如 果 是 本 地 微软 Exchange 服务 器 , 则 使 用 SMTP., 
© 如 果 通 过 Outlook 来 下 载 Web 邮件 , 则 使 用 POPS. 
@ 如 果 采 用 的 是 IMAP 邮件 客户 端 , 则 使 用 IMAP。 
(2) 如 表 9-6 所 示 ,选择 你 希望 UTM 采取 的 行动 。 


表 9-6 字段 及 描述 
扫描 色 选 该 复 选 框 后 ,UTM 服务 器 将 对 邮件 进行 双向 扫描 ,除非 自 定义 策略 覆盖 了 


SMTP/POP3/IMAP | 这 条 指令 


控制 UTM 服务 器 采取 什么 行动 。 

标记 : 对 邮件 进行 标记 ,是 用 户 可 以 通过 设置 过 滤 规 则 来 将 这 些 邮件 放 到 不 同 
SOFIE F 

通过 : 放行 邮件 ,即使 它 被 检测 为 钓鱼 邮件 。 

行动 阻止 : 仅 对 SMTP 有 效 。 阻 止 邮件 ,意味 着 发 件 人 认为 邮件 已 经 被 转发 ,实际 上 
邮件 无 法 到 达 收 件 人 。 虽 然 发 件 人 和 收 件 人 并 不 知道 邮件 被 阻止 ,但 该 操作 会 
记 入 时 间 日 志 。 

隔离 : 仅 对 SMTP 有 效 。 将 邮件 隔离 。 细 节 可 参见 “隔离 章节。 正如 “创建 自 
定义 策略 ”一 节 描 述 的 ,向 外 发 送 的 邮件 默认 情况 下 不 会 被 隔离 


CD 单 击 “ 保 存 ” 按 钮 。 

2. 钓鱼 网 站 拦截 时 间 日 志 

1) Web 时 间 日 志 

CD 时 间 戳 : 事件 发 生 的 时 间 。 

(2) 行动 : 对 邮件 采取 的 操作 。 其 值 依赖 于 邮件 协议 ,但 都 包含 描述 文本 。 

(3) 客户 端 : 协议 客户 端 IP 地 址 。 对 SMTP 来 说 是 邮件 发 送 者 ,对 IMPA/POP 来 说 
是 邮件 接收 者 。 

(4) 请 求 : 关于 请 求 的 描述 。 

(5) 服务 器 : 服务 器 IP 地 址 。 对 SMTP 来 说 是 接收 邮件 的 机 器 ,对 IMPA/POP 来 说 
是 收 件 箱 机 器 。 

2) 邮件 时 间 日 志 

CD 时 间 戳 : 事件 发 生 的 时 间 。 

(2) 行动 : 对 邮件 采取 的 操作 。 其 值 依赖 于 邮件 协议 ,但 都 包含 描述 文本 。 

(3) 客户 端 : 协议 客户 端 IP 地 址 。 对 SMTP 来 说 是 邮件 发 送 者 ,对 IMPA/POP 来 说 
是 邮件 接收 者 。 

(4) 主题 : 邮件 主题 ,可 以 为 空 。 

(5) 接收 者 : 邮件 的 接收 地 址 。 

(6) 发 送 者 : 邮件 的 发 送 人 。 对 于 钓鱼 邮件 来 说 ,这 一 项 总 是 非法 的 。 

(7) 服务 器 : 服务 器 IP 地 址 。 对 SMTP 来 说 是 接收 邮件 的 机 器 ,对 IMPA/POP 来 说 
是 收 件 箱 机 器 。 
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9.12 垃圾 邮件 拦截 


9.12.1 功能 介绍 


垃圾 邮件 拦截 是 一 个 智能 邮件 过 滤器 ,能 够 识别 垃圾 邮件 ,包括 以 图 片 形式 发 送 的 垃圾 
邮件 。 单 击 垃圾 邮件 拦截 模块 的 “配置 ”按钮 ,进入 配置 界面 ,如 图 9-45 所 示 。 


中 《〈 盖 值 : 4.3) Ы 
ee 


h GRE: 4.3) Y 
me — j 


图 9-45 垃圾 邮件 拦截 配置 


1. 支持 的 协议 

可 以 扫描 通过 下 述 协议 传输 的 邮件 : SMTP, POP, IMAP。 可 以 自 定 义 如 下 垃圾 邮件 
拦截 操作 。 

(1) 扫描 垃圾 邮件 。 

(2) 通知 垃圾 邮件 用 户 。 

(3) 管理 垃圾 邮件 。 

2. 自 定义 

通过 用 户 接口 ,可 以 定义 阔 值 为 严格 .宽大 或 者 介 于 两 者 之 间 的 某 个 值 。 同 时 ,可 以 为 
设置 垃圾 邮件 拦截 进行 以 下 操作 。 

CD 标记 : 在 邮件 主题 部 分 插入 “垃圾 "字样 ,并 允许 用 户 将 垃圾 邮件 放 入 指定 文件 夹 。 

(2) 通过 : 放行 邮件 ,不 对 邮件 进行 处 理 。 
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(3) BH: 丢弃 邮件 , 且 不 通知 接收 者 ,但 会 记 入 时 间 日 志 。 

(4) 隔离 : 隔离 邮件 ,供用 户 将 来 查看 和 处 理 。 

3. RATA 

垃圾 邮件 拦截 基于 几 百 条 特征 码 来 识别 垃圾 邮件 ,每 个 特征 码 都 有 权重 ,可 以 生成 一 个 
综合 分 数 。 垃 圾 邮件 拦截 通过 该 综合 分 数 来 判断 邮件 是 垃圾 的 概率 。 综 合 分 数 加 上 一 个 效 
值 (扫描 力度 ,可 以 自 定义 ) 就 可 以 确定 邮件 是 否 为 垃圾 。 

默认 情况 下 ,垃圾 邮件 拦截 辣 值 设置 为 中 等 。 该 阅 值 可 以 阻止 大 多 数 垃圾 邮件 而 不 会 
影响 合法 邮件 。 如 果 设 置 阔 值 在 中 等 之 上 ,垃圾 邮件 拦截 就 会 更 严格 检查 ,从 而 可 能 会 将 一 

些 合法 邮件 标志 位 垃圾 。Untangle UTM HEHEH ИВ. у Untangle UTM fy H 

标 是 对 合法 邮件 的 零 误 判 率 。 也 就 是 说 ,Untangle UTM 不 希望 将 非 垃圾 邮件 错 判 为 垃圾 
邮件 。 大 多 数 用 户 偏 好 这 种 设置 ,但 用 户 完全 可 以 自 定 义 。 另 外 ,垃圾 邮件 拦截 会 不 断 更 新 
特征 库 。 
9.12.2 配置 邮件 扫描 和 隔离 


用 户 可 以 隔离 所 有 SMTP 邮件 ,或 者 指定 垃圾 邮件 拦截 隔离 发 给 特定 用 户 的 垃圾 邮 
件 。 对 于 POP 和 IMAP 邮件 ,没有 隔离 选项 ,并 且 用 户 不 能 阻止 这 类 邮件 ,因为 必须 将 这 
些 邮 件 下 载 下 来 才能 查看 ,但 可 以 标识 它们 为 垃圾 邮件 。 具 体 配置 步骤 如 下 。 

CD 在 垃圾 邮件 拦截 模块 中 ,采取 下 述 操作 。 

(D 如 果 是 本 地 微软 Exchange 服务 器 , 则 使 用 SMTP. 

@ 如 果 通 过 Outlook 来 下 载 web 邮件 , 则 使 用 POP3。 

© 如 果 采 用 的 是 IMAP 邮件 客户 端 , 则 使 用 IMAP, 

(2) 指定 UTM 的 行为 ,如 表 9-7 所 示 。 


表 9-7 UTM 的 行为 
BË ih ж 


扫描 勾 选 该 复 选 框 后 ,UTM 服务 器 将 对 双向 的 邮件 进行 扫描 ,除非 自 定义 策略 覆盖 
SMTP/POP3/IMAP | 了 这 条 指令 


可 以 控制 垃圾 邮件 拦截 的 灵敏 度 , 共 有 高 低 5 个 值 和 一 个 自 定义 值 。 注 意 ,最 高 
阅 值 对 垃圾 邮件 最 为 灵敏 ,会 使 大 部 分 邮件 被 判定 为 垃圾 邮件 


可 以 控制 UTM 对 邮件 采取 的 动作 。 

标记 : 在 邮件 主题 上 标 上 “垃圾 ”字样 。 用 户 可 以 设置 邮件 过 滤 规 则 ,并 将 这 些 
邮件 放置 到 指定 文件 夹 。 

通过 : 即使 检测 为 垃圾 邮件 ,也 会 将 其 发 送 给 接收 者 。 

动作 ER: 仅 适用 于 SMTP 邮件 。 将 邮件 丢弃 。 发 送 者 和 接收 者 都 不 会 知道 邮件 被 
丢弃 ,但 会 记 入 时 间 日 志 。 

隔离 : 仅 适用 于 SMTP 邮件 。 将 邮件 隔离 。 在 默认 情况 下 ,向 外 发 送 的 邮件 不 
会 被 隔离 。 注 意 , 可 以 为 超级 垃圾 邮件 设置 阔 值 .这样 所 有 超过 某 个 检测 分 数 的 
垃圾 邮件 将 直接 被 丢弃 ,而 不 是 被 隔离 


力度 


可 添加 的 高 级 配置 如 表 9-8 所 示 。 
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表 9-8 可 添加 的 高 级 配置 


* B ж ж 
-—- 勾 选 复 选 框 后 ,UTM 服务 器 将 在 每 封 邮件 头 部 添加 信息 ,以 说 明 该 邮件 是 否 
ш " 为 垃圾 邮件 、 分 数 和 做 出 该 决定 的 检测 信息 

允许 修改 被 检测 邮件 的 最 大 尺寸 。 默 认为 262 144B。 垃圾 邮件 一 般 都 比较 
邮件 大 小 限制 apices 
— 仅 适用 于 SMTP 邮件 。 如 果 勾 选 了 该 项 ,将 启用 DNSBL 功能 ,阻止 黑 名 单 上 
启用 缓 送 " 功 能 的 邮件 主机 的 连接 
isa | 仅 适用 于 SMTP 邮件 。 如 果 垃圾 邮件 拦截 失效 ,该 设置 可 以 决定 进来 的 邮件 
扫描 失败 时 关闭 连接 — 是 否 可 以 不 用 检测 ,或 者 将 其 阻止 直到 检测 完成 
EUR ISEREPECWVAND | 仅 适用 于 SMTP 邮件 。 该 设置 决定 垃圾 邮 件 拦截 是 否 检 测 向 外 发 送 的 邮件 
s 仅 适 用 于 SMTP 邮件 。 如 果 CPU 负载 超过 某 个 值 ,向 内 的 连接 将 会 被 停止， 
сана 直到 CPU 负载 减低 。 默 认 值 是 7 
当前 扫描 限制 仅 适用 于 SMTP 邮件 。 同 时 扫描 的 最 大 邮件 数 。 默 认 值 是 15 


9.12.3 关于 垃圾 邮件 拦截 时 间 日 志 


单 击 “ 事 件 日 志 ” 选 项 卡 ,显示 如 图 9-46 所 示 界 面 ,其 中 各 字段 含义 如 下 。 

CD н: 事件 发 生 的 时 间 。 

(2) 动作 : 对 邮件 采取 的 操作 。 其 值 依赖 于 邮件 协议 ,但 都 包含 描述 文本 ,如 阻止 或 
标记 。 

(3) 客户 端 : 协议 客户 端 IP 地 址 。 对 SMTP 来 说 是 邮件 发 送 者 ,对 IMPA/POP 来 说 
是 邮件 接收 者 。 

(4) 主题 : 邮件 主题 。 可 以 为 空 。 

(5) 接收 人 : 邮件 的 接收 地 址 。 

(6) 发 送 人 : 邮件 的 发 送 人 。 对 于 垃圾 邮件 来 说 ,通常 是 空 的 。 

(7) 垃圾 邮件 分 数 : 垃圾 邮件 扫描 时 使 用 的 分 数 。 高 分 说 明 更 有 可 能 是 垃圾 。 

(8) 服务 器 : 服务 器 IP 地 址 。 对 SMTP 来 说 是 接收 邮件 的 机 器 ,对 IMPA/POP 来 说 
是 收 件 箱 机 器 。 


| 电子 邮件 | 事件 日 志 | PEAS | 
nAaR 动作 
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图 9-46 垃圾 邮件 拦截 事件 日 志 显示 界面 
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9.13 bi H 


9.13.1 功能 介绍 


Untangle UTM 为 用 户 提供 了 防 控 (Security Collaborator) 的 功能 模块 ,提供 了 UTM 
网 关连 接 到 监控 中 心 的 接口 ,以 便 实现 全 网 内 通过 监控 中 心 的 管理 员 统一 管理 和 配置 多 台 
UTM 网 关 的 安全 模块 ,及 时 查看 和 监控 每 一 台 UTM 网 关 的 安全 状态 和 运行 信息 。 防 控 
模块 开启 之 后 ,会 连接 到 远 端 的 监控 中 心 ,监控 中 心 通过 内 置 在 UTM 网 关中 的 探 针 获 取 系 
统 状 态 信息 ,流量 信息 和 版 本 信息 ,用 于 进行 整体 的 设备 状态 显示 。 同 时 以 分 组 的 方式 管理 
设备 ,以 组 为 单位 进行 远程 统一 配置 .升级 等 操作 ,并 可 以 将 管理 的 UTM 网 关 按照 一 定 的 
策略 进行 组 织 ,实现 设备 之 间 的 作战 ,让 威胁 在 源头 得 到 控制 。 


9.13.2 配置 说 明 


防 控 模块 的 界面 如 图 9-47 rz ,在 单 击 * 设 置 "按钮 之 后 ,会 进入 防 控 的 配置 页 面 。 如 
图 9-48 所 示 ,在 基本 设置 界面 中 ,需要 用 户 提供 所 要 连接 的 监控 中 心 的 IP 地 址 ,在 模块 开 
启 模式 下 ,会 自动 连接 到 远 端 的 监控 中 心 ,将 当前 UTM 的 每 个 安全 应 用 和 服务 模块 的 运行 
状态 及 其 他 安全 信息 传输 到 监控 中 心 ,以便 集 中 显示 ,同时 接收 远 端 监控 中 心 发 回 的 配置 指 
令 ,进行 相应 的 配置 。 


图 9-47 防 控 模块 界面 9 9-48 防 控 基本 设置 界面 


9.14 报 — 


9.14.1 功能 介绍 


Untangle UTM 可 以 为 用 户 提供 丰富 的 数据 报告 。Untangle UTM 提供 报告 的 方式 有 
三 种 : 在 线 报告 .邮件 通知 和 CSV 文件 。 在 线 报告 比较 详细 ,用户 可 以 通过 Web 浏览 相关 
数据 ,并 可 以 打开 CSV 文件 详细 查看 ;通过 邮件 发 送 摘要 报告 ,其 主要 是 关于 网 络 流量 的 


信息 。 
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9.14.2 配置 说 明 


如 果 需 要 在 线 查 看 报告 ,首先 需要 打开 “启用 外 部 报告 查看 ”, 操 作 如 下 ,在 主 界面 右边 
框 中 单 击 “ 配 置 ”按钮 ,而 后 单 击 “ 管 理 ” 项 进入 管理 配置 页 面 ,在 “外 部 管理 ”区 域 勾 选 “启用 
外 部 报告 查看 ”, 具 体 可 参看 2. 4. 3 节 。 

在 主 界面 上 单 击 “ 报 告 ”功能 模块 栏 上 的 “设置 ”按钮 ,进入 配置 界面 ,如 图 9-49 所 示 。 


图 9-49 查看 报告 


在 “状态 ”选项 卡 下 单 击 “查看 报告 "按钮 , 即 可 打开 如 图 9-50 所 示 的 “报告 ”显示 页 面 。 
该 页 面 默 认 显示 的 是 系统 数据 摘要 ,用 户 可 以 在 左边 框 内 选择 相应 的 功能 模块 来 查看 对 应 
的 数据 报告 。 如 果 需 要 查看 具体 数据 ,可 以 单 击 " 关 键 统 计 ” 栏 下 面 的 小 图 标 , 将 会 打开 相应 
的 CSV 文件 ,里 面 记录 着 详细 数据 信息 。 


н 星期 一 ,十 二 月 28 2009 -星期 一 ,一 月 42010 


Ё 250 


2400 0600 1205 1805 240! 
m 


Bin 一 we 


a М 


2400 0600 1205 1805 240 О 18:05 2405 


9-50 报告 主页 面 


如 果 和 希望 通过 邮件 接收 报告 摘要 ,可 以 指定 收 件 人 的 邮箱 地 址 : 单 击 “ 生 成 ?选项 卡 ,在 
“电子 邮件 ”区 域 下 的 “ 收 件 人 ”一 栏 单 击 “ 添 加 ”按钮 ,在 弹出 框 中 填写 收 件 人 邮箱 地 址 ,而 后 
单 击 “ 保 存 ” 按 钮 。 

系统 默认 情况 下 数据 保存 时 限 是 7 天 ,你 可 以 自己 设 定 : 在 “生成 ”选项 卡 的 “数据 保 
持 ” 栏 中 填写 希望 的 时 限 即 可 ,但 数字 不 能 超过 30. 
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UTM 的 报告 包含 很 多 IP 地 址 ,为 了 增加 易 读 性 ,可 以 使 用 用 户 名 替换 内 部 IP 地 址 
( 受 保护 的 网 络 中 的 IP 地 址 )。 如 果 使 用 DHCP., 那 就 不 需要 进行 这 种 替换 了 。 请 注意 ,一 
定 不 要 对 外 部 IP 地 址 进行 此 项 操作 。 要 进行 蔡 换 ,操作 如 下 : 

单 击 “报告 ?下 的 “名 字 映 射 ? 选 项 卡 ,再 单 击 “ 添 加 ”按钮 ,在 弹出 框 中 填写 “名 字 映 射 
(内 部 IP 地址 ) 和 “名 称 ”( 用 户 名 ) 栏 , 单 击 “ 更 新 ”按钮 。 

注意 : 查看 报告 的 其 他 方法 : 除了 通过 主 界面 进入 报告 页 面 查 看 外 ,还 可 以 通过 URL 
直接 访问 报告 页 面 ,方法 如 下 : 在 浏览 器 中 输入 https:// 公 共 地 址 /reports。 公 共 地 址 是 
UTM 的 公共 IP 地址 或 者 主机 名 。 然 后 输入 登录 名 和 密码 ,就 可 以 查看 报告 了 。 
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第 10 章 流量 记录 


当今 互联 网 上 的 计算 机 日 益 成 为 网 络 恶 意 攻击 的 目标 , 随 着 网 络 技术 的 发 展 ,网 络 
破坏 技术 日 益 复杂 多 样 ,各 类 组 织 不 得 不 承担 计算 机 网 络 攻 击 带 来 的 大 量 经 济 损失 及 其 
他 损失 。 

因此 ,针对 计算 机 网 络 流量 的 安全 监控 的 重要 性 日 益 突 出 ,急需 对 网 络 攻击 流量 的 
记录 ,观察 攻击 事件 如何? 发 生 , 攻 击 后 果 * 如 何 ”, 以 应 对 网 络 安全 事件 事前 防范 . 事 中 
查询 和 事后 追踪 的 需求 ,提升 对 网 络 安全 事件 的 安全 防护 能 力 ,能 够 对 恶意 攻击 进行 有 
Aft ql o 

Untangle UTM 通过 流量 记录 模块 制作 网 络 数据 镜像 ,实时 记录 网 络 中 发 生 的 所 有 事 
情 , 为 安全 事件 发 生 后 的 问题 分 析 提 供 如 同 黑匣子 一 样 重要 的 基础 数据 。 通 过 设置 记录 的 
方式 ,能 有 效 存储 4 一 7 天 的 网 络 流量 数据 ,为 安全 事件 事后 分 析 提 供 了 强大 的 支持 。 

此 外 ,可 以 按照 突 发 安全 需求 ,实时 控制 流量 记录 模块 聚焦 其 监管 的 特殊 网 域 流 量 , 查 
询 相 关 的 突 发 安全 事件 网 络 流量 。 

Untangle UTM 流量 记录 模块 具有 以 下 特色 。 

(1) 网 络 流量 的 区 分 归档 记录 。 

(2) 当前 流量 的 即时 查询 与 安全 事件 报告 。 

(3) 大 容量 高 速 本 地 记录 。 

(4) 实时 流量 查询 与 显现 。 

(5) 安全 事件 回放 。 


10.1 功能 描述 


流量 记录 能 够 有 效 记 录 网 包 流 ,感知 网 络 连接 ,维护 一 个 全 局 的 连接 表 。 为 了 加 快 访问 
速度 ,该 连接 表 存 放 在 内 存 中 。 为 了 加 快 查询 响应 和 有 效 存 储 大 容量 网 络 流 数据 ,流量 记录 
有 效 利用 了 内 存 和 硬盘 的 两 级 存储 空间 。 同 时 ,流量 记录 能 够 有 效 地 监控 网 络 流 数 据 , 以 网 
络 连 接 的 形式 组 织 数据 。 一 个 网 络 连 接 定义 为 由 5 元 组 刻画 的 TCP 或 UDP 的 一 组 网 包 
CUR IP 地 址 ,目的 IP 地 址 , 源 端口 ,目的 端口 ,4 层 协议 号 ) 。 

流量 记录 可 采用 对 连接 传输 的 大 小 进行 阻 断 或 不 阻 断 的 方法 ,来 防止 过 量 消耗 存储 空 
间 和 网 络 流 的 保 真 度 , 以 提高 记录 流 的 时 效 性 和 全 面 性 。 对 于 非 TCP 和 UDP, 可 以 设置 源 
端口 和 目的 端口 无 效 , 其 连接 标识 符 设 置 为 0。 这 里 连接 是 双向 的 , 即 前 向 和 反 向 的 视 为 两 
个 单 向 连接 。 对 于 每 个 连接 相关 的 状态 变量 包括 字 节 数 .连接 发 送 的 网 包 数 .连接 最 后 一 个 
网 包 的 时 截 , 以 及 一 些 标志 位 。 连 接 表 中 的 一 些 标志 位 用 来 取消 一 个 连接 的 阻 断 ,或 标识 该 
流 已 被 控制 台 订 阅 (Subscribe) 。 

图 10-1 显示 了 Untangle UTM 的 流量 记录 模块 面板 。 
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图 10-1 流量 记录 模块 面板 


10.2 配置 设置 


10.2.1 记录 网 络 流量 的 类 型 


针对 所 有 网 络 流量 ,可 设置 网 络 数据 记录 模式 为 无 截断 模式 和 截断 模式 (固定 记录 网 络 
流 的 指定 大 小 ) 。 


10.2.2 特殊 网 络 流量 


(D HTTP Web; 网 页 浏览 。 

(2) POP3.SMTP.IMAP4 等 电子 邮件 交互 协议 。 
(3) IM(IRC.QQ.MSN): 即时 通信 消息 。 

(4) 文件 下 载 (File Transfer Protocol,FTP) 。 
(5) Peer-to-Peer( P2P) : 文件 下 载 分 析 。 

(6) Voice over IP(VoIP): 会 话 。 


10.2.3 指定 流量 查询 

关键 词 索 引 有 9 个 : ip、srcip ,dstip、port、srcport dstport, connection? , connection3, 
connection4。 这 9 类 索引 的 流量 代表 基于 TCP/IP 五 元 组 数据 记录 的 由 粗 到 细 的 网 络 流量 
的 分 类 与 存储 。 

如 指定 查询 细 粒 度 的 连接 connection4 Й “сср 166. 111. 137. 20:80 166. 111. 130. 25: 
88”, 这 样 有 利于 最 终 追 踪 安全 事件 。 
10.2.4 网 络 流量 记录 预 处 理 

探 针 系统 前 端 设 有 预 过 滤器 (Pre-Filter) ,过 滤器 工作 模式 有 包含 式 记录 和 排他 性 记录 
两 种 。 包 含 式 记 录 (Include) , 即 专门 记录 某 些 特定 的 流量 ,而 排他 式 记 录 (Exclude), 即 对 
某 些 主机 、 网 络 不 予 记录 ,进行 选择 性 忽视 。 
10.2.5 查询 流量 大 小 


系统 快速 查询 流量 大 小 (存放 在 高 速 缓存 ) 之 1000MB 
系统 长 期 档案 文件 大 小 (存放 在 硬盘 中 ) 之 900GB 


10.2.6 单 流 记录 大 小 


流 的 全 部 内 容 : 设置 网 络 数据 记录 模式 为 无 阻 断 模式 ,是 指 完整 地 记录 网 络 流 的 所 有 
长 度 。 用 户 也 可 以 根据 需要 自 定义 单 流 记 录 大 小 。 流 量 记 录 的 典型 系统 参数 如 表 10-1 
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所 示 。 


表 10-1 流量 记录 的 典型 系统 参数 


系统 配置 参数 数 值 系统 配置 参数 数 值 
系统 内 存 >2GB FIFO( 内 存 ) >1024MB 
最 小 存储 容量 >1TB FIFO( 硬 盘 ) >900GB 
最 小 硬盘 写 人 速度 >200Mb/s 


流 的 前 30KB 内 容 : 设置 网 络 数据 记录 模式 为 阻 断 模式 ,截断 门限 为 30KB, 是 指 固定 
记录 网 络 流 的 前 30KB 长 度 流 量 。 
流量 记录 配置 界面 如 图 10-2 所 示 。 


Ej 


基本 设置 


流 记录 日 志 间隔 
网 卡 : 

优先 级 : 

截流 ; 


磁盘 上 限 : 
文件 上 限 : 

内 存 : 

每 次 写 入 网 包 数 : 


《10~90 秒 ) : 


图 10-2 流量 记录 配置 


ЖЕН: 探 针 系统 具有 阻 断 模式 , 阻 断 的 门限 决定 了 网 络 流量 记录 的 完整 性 和 开销 。 无 
阻 断 模式 意味 着 完整 性 最 高 ,开销 最 大 ; 阻 断 门限 越 高 ,完整 性 越 高 ,开销 也 越 大 。 


10.3 查询 命令 


用 户 通 过 图 形 化 界面 ,发 布 查询 命令 给 流量 记录 执行 查询 。 流 量 记录 通过 执行 用 户 的 
查询 命令 ,用户 可 以 获取 监控 的 网 包 内 容 。 查 询 结果 由 流量 记录 生成 发 送 回 查 询 用 户 ,或 者 
以 文件 形式 存放 在 流量 记录 硬盘 。 

查询 名 称 二 query-spec 之 由 索引 名 称 ( 大 类 ) 加 上 索引 名 称 的 说 明 部 分 (具体 内 容 ) 


组 成 。 


索引 名 称 说 明 内 容 由 去 索引 名 称 具 体内 容 之 指定 ,比如 索引 名 称 为 connection4 的 具体 
内 容 为 "tcp 166. 111. 137. 20:80 166. 111. 130. 25:88". 

查询 标志 过 query-flags 二 可 以 用 来 约束 查找 。 查 询 标志 包括 时 段 start <timestamp> 
end <timestamp>,mem_only 和 subscribe。 查 询 标志 可 以 顺序 给 出 或 者 组 合 。 
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为 了 查询 一 段 时 间 间 隔 中 的 流量 ,可 由 timestamps( 时 戳 ) 来 指定 时 间 跨 度 。 只 有 在 该 
时 间 跨 度 内 网 包 才 被 查询 返回 。 通 过 周期 发 出 更 新 的 时 间 跨 度 的 间隔 可 以 实时 动态 获取 最 
新 的 查询 内 容 。 

为 了 查询 响应 快 ,响应 内 容 新 ,可 指定 mem_only, 这 样 查询 只 查找 存储 于 内 存 中 的 索 
引 项 (Index Entries) ,返回 存放 在 内 存 环形 队列 的 网 包 中 。mem_only 和 timestamps ЇЙ 
可 以 组 合 使 用 ,最 终结 果 为 两 个 查询 返回 的 交集 。 

设置 为 “订阅 ”(Subscription) 的 查询 ,可 以 实时 将 查询 内 容 动态 发 回 给 查询 端 。 当 前 只 
有 索引 名 称 为 connection4 的 查询 才 支 持 订阅 (Subscribe) 标 识 。 

查询 界面 如 图 10-3 所 示 。 


В айнан 
gema: [2010-01-06 17:39:28 |3 


图 10-3 流量 查询 界面 
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第 11 章 硬件 定制 


Untangle 总 体 是 基于 软件 的 UTM 解决 方案 ,通过 采用 定制 化 的 硬件 ,可 以 提升 性 能 ， 
系统 的 整体 可 靠 性 和 安全 特色 更 好 。 


11.1 硬件 定制 选 型 


基于 NexCom 工业 主板 是 目前 比较 适合 网 络 安全 的 服务 器 级 主板 。 表 11-1 给 出 了 
NexCom 工业 控制 主板 的 一 些 具体 参数 。 


表 11-1 网 络 安全 平台 参数 比较 
硬件 平台 NSEC-G41 NSA-1083 NSA-1088E 


Intel C 2D 
CPU po ния юм 5 ú to Intel Core 2 Duo 
rocessor, 5 СБА 
Core(TM) 2 Duo / сезаог,› Speen ир ме е u 


2. 66GHz 

前 端 总 线 800/1066/1333 MHz FSB 800/1066 MHz FSB 

芯片 组 Intel G41 and ICH7R Chipset| Intel Q965 十 ICHS8 Intel 945G 十 ICH7R Chipset 
高 速 缓存 1MB/2MB cache 4MB Cache 1MB/2MB Cache 


DDR3 1066 with Non-ECC 


53 5 3 5 мм 
内 存 类 型 memory, 2 DIMM sockets 2 x DDRII 533/667/800 DDR 1 533/667 DI 


MM. Ma ; £ ets. 3 
support Max AGB DI ax 4GB Sockets. up to 4GB 
Intel. 82573L PCLE GbE.; 
络 芯 片 574L el 57 
网 络 芯片 Intel 825741 PCL32 GbE. Intel 82571EB 
网 络 类 型 Max 8 ports 8 ports copper 4 Copper + 4 SFP 
硬件 Bypass | 4 pairs 3 Pairs Dual Latch 2 pairs 


为 了 支持 特定 的 硬件 (如 网 卡 ) ,需要 在 Untangle 系统 中 重新 编译 安装 相应 的 硬件 驱动 
程序 。 详 细 流 程 可 参考 本 书 下 篇 内 容 。 


11.2 业务 安全 功能 


11.2.1 旁 路 直通 功能 


在 硬件 主板 支持 的 情况 下 ,可 以 实现 基于 硬件 的 旁 路 功能 。 在 具有 硬件 旁 路 的 功能 支 
FF F ,默认 情况 下 ,Untangle UTM 会 在 意外 断 电 情况 下 保持 网 络 连接 的 旁 路 是 直通 的 , 因 
此 不 会 影响 正常 的 网 络 使 用 。 
为 了 达到 控制 效果 ,Untangle UTM 主要 以 桥接 方式 部 署 在 网 络 出 口 ,由 此 可 能 会 带 来 
系统 的 潜在 单 点 故障 风险 。 为 了 保证 高 可 用 性 ,解决 方案 就 是 使 用 硬件 主板 网 口 的 旁 路 功 
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能 。 当 故障 发 生 时 ,Untangle UTM 自动 接 通 网 络 原 有 链 路 ,保证 网 络 正常 工作 。 

基于 NexCom 工业 主板 安装 的 Untangle UTM 设备 ,在 软件 配置 下 ,实现 硬件 旁 路 
功能 。 

以 基于 NSEC-G41 工控 主板 的 Untangle UTM 为 例 ,实现 了 断 电 旁 路 直通 和 用 户 程 序 
控制 开关 旁 路 直通 功能 。 有 8 个 千 兆 接口 ,支持 四 路 旁 路 直通 ,每 对 网 口 组 成 一 组 。 比 如 
Etho 和 Ethl 组 成 一 组 ,组 号 为 0; Eth2 和 Eth3 组 成 一 组 ,组 号 为 1,Eth4 和 Eth5 组 成 一 
组 ,组 号 为 2,Eth6 和 Eth7 组 成 一 组 ,组 号 为 3。 当 遇 到 紧急 情况 时 ,需要 开启 硬件 旁 路 功 
能 ,只 需 长 按 Bypass 按钮 ( 见 图 11-1) 大 于 2s, 当 听 到 轻微 的 跳 曾 声 后 ,继电器 进行 了 切换 ， 
系统 转变 为 旁 路 模式 ,同时 , 旁 路 指示 灯 将 亮 起 以 显示 四 路 旁 路 状态 。 解 决 问题 后 ,可 再 次 
长 按 Bypass 按钮 (大 于 2s) ,Untangle UTM 将 恢复 正常 工作 。 


一 键 Bypass 按 钮 旁 路 指示 灯 
图 11-1 一 键 Bypass 按钮 示意 图 


同时 , Untangle UTM 还 提供 了 软件 旁 路 功能 , 即 
使 在 安全 组 件 功能 受 攻击 或 软件 意外 失效 的 情况 下 ,网 
络 使 用 依然 不 受 安全 组 件 失效 的 影响 ,提供 设备 的 整体 
可 用 人 性。 

Untangle UTM 提供 的 软件 旁 路 直通 的 独 有 特色 
功能 ,配置 界面 如 图 11-2 所 示 。 通 过 控制 界面 的 软件 旁 
路 直通 功能 ,能 够 有 效 防止 因 软 件 安 全 组 件 故 障 造成 的 
网 络 问题 ,保证 网 络 正常 工作 。 


11.2.2 硬件 看 门 狗 


以 Untangle UTM 为 例 ,为 了 能 够 提供 更 高 的 可 靠 。 图 11-2 一 键 Bypass 按钮 配置 界面 
性 ,除了 旁 路 直通 功能 外 ,还 具有 看 门 狗 功能 
(Watchdog) ,看 门 狗 功能 初始 设计 的 基本 用 途 是 控制 系统 重启 ,可 以 在 硬件 中 设 定 ,也 可 以 
通过 监护 程序 控制 ,监护 程序 执行 的 是 “ 喂 狗 ”动作 ,如 在 一 个 时 间 周 期 内 ,不 断 给 定时 器 刷 
新 时 间 , 看 门 狗 就 不 发 出 重启 指令 ;如 果 系 统 超时 ,如 系统 宕 机 时 ,看 门 狗 不 能 正常 工作 , 则 
发 出 系统 重启 指令 。 


11.2.3 软件 看 门 狗 


以 Untangle UTM 为 例 , 为 了 进一步 提供 安全 功能 的 可 靠 性 ,除了 旁 路 直通 功能 和 硬 

件 看 门 狗 功能 ,还 实现 了 软件 看 门 狗 功 能 。 软 件 看 门 狗 初始 设计 的 基本 用 途 是 监控 各 安全 

功能 ,如 反 病 毒 、IPS、 垃 圾 邮件 过 滤 等 安全 功能 。 一旦 出 现 异常 ,如 系统 资源 消耗 过 多 、 安 

全 模块 停止 等 ,可 以 根据 策略 ,将 该 安全 功能 重新 启动 ,从 而 避免 了 因 安 全 功能 模块 失效 而 
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导致 网 络 业务 中 断 的 问题 ,保障 了 网 络 业务 的 高 可 用 性 。 软 件 看 门 狗 配置 界面 如 图 11-3 
所 示 。 


看 门 狗 
| Que 


ERR 


^ - 


图 11-3 看 门 狗 按 钮 示意 图 
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第 12 章 操作 实例 


12.1 故障 排除 与 应 急 处 理 


12.1.1 网 络 中 出 现 大 量 垃圾 邮件 


1. 检查 垃圾 邮件 拦截 日 志 
单 击 “ 垃 圾 邮件 拦截 ”一 设置 一 事件 日 志 命 令 , 出 现 如 图 12-1 所 示 垃 圾 邮件 事件 日 志 。 


电子 邮件 | 事件 日 志 [ PAROS | 

най 动作 XO 
kuuraa 3.30 p ERARMETT їзєт ҮҮ 
2009-12-29 5:13:25 pm 通过 邮件 19216.. 
2009-12-29 5:13:25 pm 标记 192.16... 
2009-12-29 5:13:25 pm 标记 192.16... 
2009-12-29 5:13:24 pm 标记 192.16. 
2009-12-29 5:13:24 pm 通过 邮件 192.16... 
2009-12-29 5:13:23 pm 通过 邮件 192.16... 
2009-12-29 5:13:23 pm 标记 192.16... 
2009-12-29 5:13:23 pm 标记 192.16... 
2009-12-29 5:13:22 pm 标记 192.16. 
2009-12-29 5:13:22 pm 标记 192.16... 
2009-12-29 5:13:22 pm 通过 邮件 192.16. 
2009-12-29 5:13:21 pm 标记 192.16... 
2009-12-29 5:13:21 pm 通过 邮件 192.16... 
2009-12-29 5:13:21 pm 标记 192.16... 

- QUI 区 自动 刷新 


图 12-1 垃圾 邮件 事件 日 志 


如 从 日 志 中 发 现 大 量 邮件 垃圾 评分 较 高 ,被 判定 为 网 络 内 出 现 大 量 垃圾 邮件 。 

2. 配置 SMTP 扫描 (扫描 内 网 发 往外 网 的 邮件 ) 

单 击 * 垃 圾 邮件 拦截 ”设置 电子 邮件 命令 ,出 现 如 图 12-2 所 示 邮 件 拦截 设置 。 

其 中 扫描 强度 越 高 ( 即 阅 值 较 低 ), 则 越 多 的 邮件 将 被 判定 为 垃圾 邮件 。 如 阔 值 为 3. 0， 
垃圾 评分 超过 3.0 的 邮件 被 判定 为 垃圾 邮件 。 相 反 , 阔 值 越 高 , 则 相对 较 少 的 邮件 被 标记 。 

另外 ,大 量 垃圾 邮件 引起 邮件 扫描 引擎 负载 迅速 升 高 。 为 了 保持 整体 性 能 ,可 以 调节 
CPU 负载 限制 和 并 发 扫描 引擎 数 。 从 而 使 得 本 模块 不 至 于 占用 过 高 系统 负载 ,影响 其 他 安 
全 应 用 的 正常 运转 。 一 般 推荐 CPU 负载 限制 为 10% 一 15%, 并 发 扫描 数 限制 为 15 — 
30%。 用 户 根据 具体 情况 可 适当 调节 此 参数 。 


12.1.2 网 络 拥塞 应 急 处 理 


网 络 中 出 现 的 大 量 P2P、BT 流量 占用 有 限 带 宽 ,影响 关键 业务 使 用 。 
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扫描 强度 р 
LI I -—-- d 
标记 Y 


图 12-2 邮件 拦截 设置 


.协议 控制 事件 日 志 
协议 控制 >“ 设置 >“ 事件 日 志 ” 命 令 , 出 现 如 图 12-3 所 示 协 议 控制 事件 日 志 。 


ваме | sena | 
nom жеш 动作 原因 mas 
2009-12-30 10:58:49 pt BIE 192.168 254.171:2924 Т] 1231382384080 ^ 
2009-12-30 10:58:49 pt 208 192.168.254.171:2923 EMENRHEMEN 123.138.238.147:80| 
2009-12-30 10:58:47 pr 28 192.168.254.132:2222 А] 124.115.18.19:80 
2009-12-30 10:58:47 р Bt 192.168.254.141:4163 шет LL] 123.138.238.147:80) 
2009-12-30 10:58:46 pt 28 192.168,254.171:2921 SRLNRSEREH 123.138.238.147:80 
2009-12-30 10:58:42 pr 218 192.168.254.132:2220 Е] 124.115.18.196:80 
2009-1230 10:58:37 pr 2/84 192.168.254.1322219 ERE eene 124.115.18.198:80 
2009-12-30 10:58:37 p Ва 192.168254.141:4161 Emirneecmi5 

2009-1230 10:58:37 pr BÉ 192.168.254.141:4160 taspa Emas 

2009-12-30 10:58:26 pr 2а 192.168.254.171:2919 


2009-12-30 10:56:36 pt EME 192.168.254.171:2918 
2009-12-30 10:58:36 pr 282 192.168.254.171:2917 


шеле аё 
€ En Es t 
SRLNRS E 
在 卫士 列 家 中 已 隐士 的 
«шта; 
在 风土 列 表 中 已 随 上 上 的 


2009-12-30 10:58:36 pt EE 192.168.254.171:2915 

2009-12-30 10:58:36 pt EME 192.168.254.1712914 

2009-12-30 ЕЕЕ Ы БЕ66Ф east 192.168.254.171:2913 
r rr w F 

bugs + Que Б eene H4 жі Aso b M 


图 12-3 协议 控制 事件 日 志 


这 时 会 发 现 系统 中 存在 “迅雷 ”等 大 量 P2P 应 用 ,它们 严重 挤占 系统 带宽 。 
2. 阻 断 迅雷 协议 
单 击 * 协 议 控制 ”一 设置 ”一 协议 列表 ”命令 ,出 现 如 图 12-4 所 示 界 面 。 
通过 翻 页 找到 迅雷 协议 (其 中 分 类 是 对 协议 自身 做 粗 粒度 的 聚合 ,如 将 迅雷 分 类 为 P2P 
应 用 ) , 匀 选 其 阻止 和 日 志 两 项 ,从 而 阻 断 网 络 中 的 迅雷 协议 的 网 流 。 
用 户 根据 自身 需求 可 以 自行 添加 或 者 修改 协议 ,如 图 12-5 所 示 。 
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to Peer Xunkel 日 Chinese P2P filesharing |81 
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SS 
| \(compatible; (MSIE 6\.0; n 
Windows NT 5\.1;? ?)|MSIE 
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图 12-5 自 定 义 协 议 
如 果 用 户 要 阻 断 或 者 放行 某 种 协议 与 此 类 似 。 
12.1.3 ZAM IP 地 址 对 应 正常 服务 被 拦截 


对 于 某 内 网 IP ,如果 不 希望 其 流量 被 意外 拦截 ,可 以 打开 UTM 的 软件 旁 路 功能 。 假 
设 内 网 服务 所 在 IP 地 址 为 192. 168. 2. 123, 单 击 配 置 一 联网 页 面 右上 角 的 “高 级 ”选项 , 选 
择 “ 旁 路 规则 ”, 如 图 12-6 所 示 。 

单 击 “添加 ”按钮 ,增加 新 的 规则 ,如 图 12-7 所 示 。 

在 弹出 的 规则 添加 页 面 中 ,输入 规则 名 字 , 选 中 “ 旁 路 ” 复 选 框 , 单 击 “ 添 加 ”按钮 新 增 条 
件 匹 配 , 选 择 源 地 址 并 输入 192. 168. 2. 123 ,如 图 12-8 所 示 。 单 击 “ 更 新 ”按钮 ,进一步 单 击 
“保存 ”按钮 。 
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图 12-6 Se LIU Pe 
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图 12-7 添加 新 的 规则 


位 
192.168.2.123 


图 12-8 ”编辑 规则 
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12.2 集中 监控 和 管理 


12.2.1 集中 监控 


当前 ,安全 威胁 日 益 复 杂 多 样 ,攻击 手段 日 益 智 能 化 ,网 络 安全 设备 需要 时 刻 抵御 新 的 
安全 威胁 和 攻击 ,因此 对 网 络 安 全 设备 的 运营 状况 进行 实时 监控 有 助 于 快速 响应 安全 事件 
的 爆发 ,维护 网 络 的 正常 运营 。 

此 外 ,实时 监控 有 助 于 排除 如 操作 员 失 误 、 软 件 错误 、 环 境 条 件 等 问题 造成 的 故障 。 
研究 表明 ,尽管 网 络 硬件 已 经 十 分 可 靠 ,但 是 计划 外 故障 仍 会 发 生 , 仅 赁 可 靠 的 硬件 是 无 
法 避免 这 些 问题 的 。 即 使 是 因 系统 维护 和 安全 功能 升级 而 产生 的 计划 内 中 断 , 也 可 能 会 
影响 网 络 业 务 的 运行 。 因 此 ,采用 实时 的 监测 管理 系统 ,是 实现 可 靠 、 及 时 的 网 络 安全 管 
理 的 关键 。 

Untangle UTM 为 用 户 提供 了 UTM 设备 安全 组 件 集中 式 的 管理 和 统一 的 性 能 与 状态 
监视 ,具有 以 下 特点 。 

(1) UTM 设备 各 种 安全 功能 (防火 墙 . 防 病毒 入 侵 保护 ,协议 控制 垃圾 邮件 、 广 告 搓 
截 、 网 页 过 滤 、 防 间谍 软件 等 ) 工 作 状 况 监控 。 

(2) UTM 设备 系统 资源 (网 络 带宽 .处理 器 负荷 .存储 器 利用 率 和 磁盘 利用 率 等 ) 监 控 。 

(3) 并 行 服务 检查 机 制 。 

(4) UTM 设备 检测 到 发 生 的 网 络 安全 事件 和 问题 时 ,将 会 发 送 告警 信息 给 网 络 管理 员 
(通过 E-mail. 短信、 用 户 定义 方式 ) 。 

(5) UTM 设备 日 志 集 中 管理 与 查询 功能 。 

(6) UTM 设备 良好 的 Web 管理 接口 。 

监控 程序 采用 了 服务 器 一 一 代理 的 工作 模式 ,监控 中 心 通过 部 署 在 每 台 UTM 设备 上 
的 代理 程序 与 每 台 UTM 设备 进行 安全 通信 ,代理 程序 中 的 本 地 监控 插件 程序 将 会 根据 控 
制 中 心 的 命令 ,指示 UTM 完成 相应 的 策略 管理 动作 : 如 返回 当前 各 台 UTM 设备 的 状态 


信息 和 性 能 数据 ,使 得 网 络 管理 员 能 够 掌握 当 on em 
前 的 网 络 状况 ;指示 各 台 UTM 按照 一 定 条 件 

筛选 某 一 时 间 段 内 的 安全 组 件 日 志 信息 ,并 将 КОЕ, nv 
这 些 信息 汇总 到 数据 中 心 ,使 得 网 络 管理 员 能 = = 
够 针对 某 种 网 络 安全 威胁 进行 快速 响应 ;实现 | e 

UTM 安全 组 件 的 程序 版 本 升级 和 安全 策略 ЖШ 
库 更 新 、 策 略 管理 动作 的 更 新 。 监 控 中 心 与 eg 插件 


UTM 设备 的 进行 基于 SSL 的 安全 通信 ,同时 
UTM 设备 的 代理 程序 也 会 验证 监控 中 心 的 б $ 
身份 ,只 有 来 自 监控 中 心 的 监控 请 求 才 会 得 到 | sme | M 
UTM 设备 的 响应 。 

监控 原理 如 图 12-9 所 示 。 


图 12-9 监控 原理 图 


eq 


12.2.2 监控 Web 管理 界面 


当 部 署 了 多 台 UTM 设备 时 ,可 以 通过 监控 中 心 来 对 各 UTM 进行 集中 式 的 监控 和 管 
理 , 使 得 网 络 管理 员 能 够 更 好 地 管理 网 络 ,应 对 网 络 安全 威胁 。 

通过 监控 中 心 ,能 够 直截了当 地 查看 各 台 UTM 所 有 安全 组 件 的 状态 信息 和 性 能 数据 ， 
使 得 管理 员 能 够 快速 和 简单 地 掌握 当前 的 网 络 环境 ,发 现存 在 的 网 络 安全 威胁 。 


12.2.3 命令 格式 与 操作 


各 UTM 设备 通过 专用 的 安全 通道 进行 命令 传 控 通 信 。 控 制 中 心 的 策略 管理 动作 格式 
定义 如 下 : 
define олшеп 
command name and 
command line $ USER$ /amd -HS UIM ADDRESS$ -c$ ARGI$ -a$ ARGS 
) 
在 UTM 代理 程序 中 所 对 应 的 策略 管理 动作 如 下 : 


command[and]=CMD $ ARGI$ -c$ ARGI$ -a$ ARGS 


主要 的 控制 命令 按照 安全 功能 配置. 日志、 策略 .报告 类 型 , 共 分 为 5 个 大 类 ,总 计 15 
项 具体 功能 。 

(1) 安装 与 升级 功能 : Untangle UTM 灵活 先进 的 软件 架构 使 得 用 户 可 以 对 UTM iz 
备 程 序 进行 部 分 更 新 ,而 不 影响 正常 工作 ,用 户 可 以 根据 自身 需要 安装 或 者 卸载 指定 的 安全 
组 件 , 实 现 对 于 特定 用 户 的 定制 功能 需求 ,该 部 分 功能 包括 如 下 。 

QD 安装 新 的 安全 组 件 。 

@ 扼 载 已 安装 的 安全 组 件 。 

@ 对 安全 组 件 进行 升级 。 

(2) 安全 组 件 操 作 功 能 : Untangle UTM 各 安全 功能 组 件 独 立 运 行 和 工作 , 互 不 影响 ， 
因而 用 户 可 以 对 某 个 安全 组 件 进行 独立 的 操作 和 控制 ,使 得 用 户 可 以 根据 当前 的 网 络 安全 
状况 进行 更 有 针对 性 的 配置 和 管理 ,该 部 分 功能 包括 如 下 。 

QD 开启 某 个 安全 组 件 。 

@ 关闭 某 个 安全 组 件 。 

@ 禁用 某 个 安全 组 件 。 

(3) 管理 员 系 统 功能 : Untangle UTM 控制 中 心 对 网 络 管理 员 实行 严格 的 访问 登录 控 
制 ,只 有 经 过 身份 认证 的 用 户 才 能 够 登录 ,对 UTM 设备 进行 管理 和 控制 ,保证 了 设备 和 网 
络 的 安全 ,该 部 分 功能 包括 如 下 。 

© 获取 注册 信息 。 

@ 登录 监控 系统 。 

O 登 出 监控 系统 。 

(4) 策略 管理 功能 : Untangle UTM 特有 的 策略 管理 功能 使 得 UTM 设备 能 够 进行 工 
作 , 共 同 抵御 网 络 安全 威胁 。 通 过 加 载 不 同 的 策略 ,可 以 使 得 UTM 组 发 挥 不 同 的 安全 作 
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用 ,因此 Untangle UTM 允许 用 户 添加 或 者 查询 当前 的 策略 ,该 部 分 功能 包括 如 下 。 

CD 添加 新 的 管理 策略 。 

@ 显示 当前 管理 策略 。 

(5) 日 志 报告 系统 功能 : 完备 的 网 络 安全 日 志 信息 对 于 网 络 安全 管理 至 关 重 要 ,因此 ， 
Untangle UTM 提供 了 强大 的 日 志 记录 和 管理 系统 ,使 得 网 络 管理 员 能 够 时 刻 掌握 当前 网 
络 的 最 新 状况 和 突 发 的 网 络 安全 事件 ,该 部 分 功能 包括 如 下 。 

© 打开 日 志 功能 。 

© 启用 日 志 功 能 。 

@ 准备 日 志 报告 。 

@ 生成 日 志 报告 。 

表 12-1 给 出 了 具体 控制 命令 类 型 与 具体 参数 。 


表 12-1 控制 命令 类 型 与 具体 参数 
名 Ж £ Ж 


CLI active function-name 
CLI deactive function-name 
CLI update 

CLI upgrade 


功能 命令 


CLI active 

CLI deactive 
CLI upgradable 
CLI uptodate 


CLI list function-name [ 参数 ] 
功能 控制 命令 CLI start function-name 
х 


CLI stop function-name 
CLI kill function-name 


CLI who 
管理 命令 CLI getAdmin 
CLI passwd [ -add | -del ] login [ password ] 


CLI shutdown 


CLI 命令 
we CLI serverStats 


CLI addPolicy 
策略 命令 CLI delPolicy 
CLI listPolicy 


CLI enableReporting 
CLI prepareReports [ args | 


A 
报表 命令 CLI startReports 
CLI stopReports 
CLI startLog 
日 志 命 令 CLI stopLog 
p 


CLI restartLog 
CLI clearLog 
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第 13 章 RSE A 


Untangle UTM 可 以 参照 使 用 场景 来 定制 鲜明 特色 的 功能 ,制定 适合 行业 使 用 的 相关 
的 解决 方案 。 


13.1 金融 证 券 银 行业 


这 些 行业 对 数据 访问 和 业务 的 安全 性 要 求 很 高 , Untangle UTM 具有 的 VPN 功能 和 
高 性 能 网 络 访问 控制 (NAC) ,为 这 些 行业 业务 的 安全 提供 了 有 力 的 保障 ;另外 ,在 金融 监管 
方面 ,Untangle UTM 独特 的 会 话 代 理 功能 和 数据 记录 功能 ,能 对 金融 交易 的 数据 进行 有 效 
的 审计 和 追踪 能 力 ,增强 了 监管 能 力 。 


13.2 Ж fi 业 


中 小 学 环境 中 用 户主 要 以 学 生 为 主 , 互 联网 的 接 人 为 教学 提供 了 丰富 的 资源 ,同时 为 了 
保护 未 成 年 人 ,Untangle UTM 具有 Web 过 滤 ,IM 和 P2P 及 网 络 游戏 协议 控制 功能 ,对 防 
止 学 生 浏览 .接触 不 良 信 息 等 ,起 到 积极 作用 。 


13.3 政府 办 公 环 境 


目前 电子 政务 的 普及 ,对 政府 办 公 网 络 的 可 信 性 提出 了 更 高 的 要 求 。Untangle UTM 
提供 了 防火 墙 功 能 (NG) 、 入 侵 保护 功能 (IPS) „4% DDoS 功能 和 反 垃圾 邮件 功能 等 ,对 防御 
和 阻止 恶意 流量 攻击 ,建立 可 信 的 网 络 环境 提供 了 有 力 保 障 。 


13.4 电信 运营 环境 


当 电信 运营 商 接 和 人 网 络 环境 中 ,因为 承载 的 用 户 的 网 络 行为 复杂 ,网络 流量 和 协议 应 用 
丰富 ,Untangle UTM 具有 带宽 管理 `.P2P 协议 识别 和 控制 .流量 优先 级 管理 ,能 够 有 效 地 保 
障 付费 用 户 的 网 络 用 户 体验 ,限制 P2P 协议 的 流量 ,对 维护 良好 的 电信 运营 环境 提供 了 有 
力 保障 。 


13.5 中 小 企业 环境 


Untangle UTM 提供 了 防火 墙 功 能 (NG)、 入 侵 保 护 功能 (IPS) tit DDoS 功能 、 反 垃圾 
邮件 功能 、 防 病毒 功能 等 ,为 全 面 防御 和 阻止 恶意 流量 攻击 ,建立 可 信 的 网 络 环境 提供 了 有 
力 保 障 。 
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第 14 章 问题 解答 


1. 防 间 谍 软 件 

问 : 用 户 抱怨 无 法 连接 xxx. com 站 点 ,并 且 在 时 间 日 志 中 始 该 如 何 解除 对 
xxx. com 站 点 的 阻止 ? 

答 : 你 可 以 在 “通过 列表 ”中 为 站 点 xxx. com 增加 一 条 规则 。 

BJ; 我 希望 在 我 的 网 络 中 阻止 某 个 ActiveX, 但 我 的 一 个 商业 伙伴 站 点 需要 该 ActiveX 
时 ,我 该 如 何 配 置 ? 

答 : 首先 ,禁用 所 有 ActiveX 控件 。 然 后 ,通过 将 商业 伙伴 的 域名 添加 到 “通过 列表 ”中 
来 解除 对 你 的 商业 伙伴 的 这 个 限制 。 

2. рте 

: 在 对 接收 自 IMAP 的 钓鱼 邮件 进行 标记 配置 时 ,邮件 主题 只 在 我 单 击 邮件 时 改 成 
q^ Ra е 为 什么 ? 

Ж. 大 多 数 IMAP 客户 端 首先 获取 邮件 摘要 信息 (如 主题 ,发 送 者 ) ,因此 用 户 能 够 看 到 
一 些 关 于 邮件 概要 信息 。 只 有 当 用 户 选择 ( 单 击 该 邮件 后 , 才 会 真正 从 服务 器 上 接收 下 来 。 
这 时 Untangle UTM 才能 够 进行 扫描 ,有 些 邮 件 客 户 端 并 不 能 检测 到 邮件 主题 的 改变 ,从 
而 也 就 没 法 更 新 其 概要 信息 。 

з. 广告 拦截 

问 : 广告 拦截 规则 如 何 更 新 ? 

答 : 广告 拦截 的 规则 列表 包含 了 链接 至 广告 的 站 点 ,以 及 非 广告 站 点 中 的 广告 链接 。 
随 着 一 些 厂家 发 布 新 的 广告 ,该 列表 也 会 被 更 新 。Untangle UTM 会 收集 这 些 更 新 并 将 其 
加 入 到 更 新 列表 中 。 

4. 防火 墙 

问 : 为 什么 Untangle UTM 防火 墙 组 件 默认 规则 是 全 部 通过 ? 

Ж: 当 Untangle UTM 为 路 由 模式 时 ,内 外 网 是 NAT 架构 。NAT 可 以 阻 断 大 部 分 威 
胁 ; 当 Untangle UTM 为 桥接 模式 时 , 它 通常 已 经 在 一 个 防火 墙 之 后 ,该 防火 墙 也 能 阻 断 大 
部 分 威胁 。 

问 : Untangle UTM 支持 端口 映射 吗 ? 

答 : 端口 映射 (端口 转发 ) 的 配置 在 配置 一 网 络 一 端口 转发 中 。 

问 : 通过 地 址 转换 后 ,在 防火 墙 规则 中 应 该 使 用 转换 前 地 址 还 是 转换 后 地 址 ? 

答 : Untangle UTM 防火 墙 的 地 址 匹配 总 是 匹配 含 更 多 信息 量 的 地 址 。 如 果 某 网 络 地 
址 从 192. 168. +, * 转换 为 1. 2. 3. 4, 对 于 进出 该 网 络 的 流量 ,Untangle UTM 防火 墙 会 匹 
Bü 192. 168. *. * 。 从 会 话 层面 来 说 , 即 为 源 地 址 是 匹配 转换 前 地 址 ,目标 地 址 是 匹配 转换 
后 地 址 。 

5. 入 侵 保护 

问 : 为 什么 不 对 大 部 分 的 规则 都 实施 默认 阻挡 ? 
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Ж: 因为 除了 恶意 行为 以 外 ,这 些 规则 同样 能 够 阻挡 非 恶 意 的 行为 。 因 此 ,为 了 方便 用 
户 ,Untangle UTM 对 每 条 规则 和 网 络 状 态 进 行 评估 ,来 确定 合适 的 默认 规则 。 

6. У 

问 : 如 果 我 使 用 了 Untangle UTM, 是否 还 需要 在 网 络 上 的 每 台 单 机 上 安装 防 病 毒 
软件 ? 

答 : 如 果 你 已 经 启用 了 Untangle UTM 上 的 防 病毒 模块 ,那么 Untangle UTM 将 会 扫 
描 所 有 的 通过 Untangle UTM 的 E-mail 流量 ,实现 对 于 用 户 的 第 一 层 保 护 。 但 是 并 不 能 保 
证 所 有 的 流量 都 通过 Untangle UTM, Br, Untangle UTM 建议 用 户 增加 另 一 层 保护 ,为 所 
有 桌面 电脑 和 笔记 本 电脑 安装 防 病毒 软件 。 

7. 网 络 不 稳定 

fa], 使 用 Untangle UTM 过 程 中 ,为 什么 会 出 现 网 络 不 稳定 现象 ? 

答 : 出 现 网 络 不 稳定 的 情况 ,可 打开 硬件 Bypass 功能 , 详 见 11. 2. 1 节 。 如 果 现 象 依 
旧 , 说 明 是 网 络 自身 的 问题 ,很 可 能 是 ISP 或 者 教育 网 络 接 入 存在 路 由 器 热 备份 、 宕 机 ,或 者 
病毒 爆发 或 DDoS 等 安全 攻击 现象 。 请 联系 ISP 或 者 教育 网 管理 员 。 

如 果 现 象 依然 存在 ,可 打开 软件 Bypass 后 , 详 见 8. 3.2 节 中 的 流量 旁 路 配置 。 如 果 网 
络 依然 不 稳定 ,很 可 能 是 Untangle UTM 受 攻击 或 者 网 络 内 部 有 病毒 爆发 。 如 果 现 象 消 
失 , 可 检查 日 志和 蜡 常 报告 ,很 可 能 是 网 络 内 的 病毒 和 垃圾 邮件 比较 多 的 缘故 ,UTM 经 常 
性 检查 出 恶意 威胁 和 攻击 异常 ,导致 正常 用 户 上 网 比较 慢 , 这 时 需要 对 内 网 的 机 器 严格 
盘查 。 


ко 
互联 网 安全 平台 的 配置 和 操作 是 一 件 非常 耗 时 耗 力 的 事情 ,但 是 从 中 可 以 学 习 到 实际 


工程 项 目的 经 验 ,实际 接触 现实 网 络 中 各 种 各 样 的 问题 ,提高 分 析 与 解决 问题 的 能 力 与 
素养 。 
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第 15 = ”开源 UTM 系统 介绍 


开源 UTM 系统 主要 有 pfsense, Endian Firewall 和 Untangle 系统 ,它们 分 别 基 于 
FreeBSD, Fedora Linux 和 Debian Linux 操作 系统 开发 ,其 中 功能 又 以 Untangle 系统 最 为 丰富 。 
目前 Untangle 版 本 为 10.0, 且 还 在 不 断 开发 中 。Untangle 10. 0 增加 了 httpsInspector 组 件 , 能 
够 对 Https 协议 分 析 。 

Untangle UTM 网 关系 统 以 其 功能 丰富 和 配置 简单 友好 ,在 开源 网 关系 统 中 占有 率 很 
高 ,在 中 小 企业 中 有 广阔 的 应 用 前 景 。 同 时 Untangle 系统 是 在 Linux 基础 上 ,是 集成 了 开 
源 安全 功能 模块 的 软件 系统 ,包括 网 络 处 理 、 虚 拟 安全 功能 平台 , Web 管理 配置 界面 ,系统 
结构 比较 复杂 ,因此 需要 对 其 做 剖析 ,以 利于 深入 掌握 和 进行 二 次 开发 。 

Untangle 19 ЛЖ CEO 是 Dirk Morris ,毕业 于 美国 卡耐基 梅 隆 大 学 计算 机 系 。 另 一 
位 创始 人 兼 Chief Architect 是 John Irwin, Untangle 系统 经 过 多 年 的 发 展 ,功能 日 益 丰 富 ， 
其 安全 组 件 生命 周期 管理 非常 灵活 ,能够 按 需 下 载 . 装 载运 行 ,关闭 和 和 印 载 。 新 的 安全 组 建 
开发 简洁 ,高 效 ,如 新 增 facebook 等 SNS 网 络 的 安全 插件 (Saveface) ,这 都 依赖 于 其 系统 架 
构 的 优良 设计 。 其 专利 技术 有 Virtual Pipeline Technology( 虚 拟 流 水 线 技 术 ) ,能 够 有 效 降 
低 时 延 。 
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$816 8 Untangle 系统 基本 原理 


16.1 防火 墙 技术 分 类 


防火 墙 技术 主要 分 为 4 类 。 

COD 网 包 过 滤 (Packet Filter). 

(2) 应 用 级 网 关 (Application Gateway) 。 

(3) 电路 级 网 关 (Circuit-level Gateway). 

(4) 网 包 状 态 检 查 (Stateful Packet Inspection. SPD 。 


16.1.1 网 包 过 滤 


网 包 过 滤 主 要 由 一 个 人 端口 一 个 出 端口 和 一 组 规则 组 成 。 规 则 库 决 定 是 否 允 许 网 包 
进入 信任 网 络 。 一 般 是 基于 源 地 址 和 目的 地 址 、 应 用 、 协 议 以 及 每 个 IP 包 的 端口 来 做 出 通 
过 与 否 的 判断 。 防 火 墙 检 查 每 一 条 规则 直至 发 现 包 中 的 信息 与 某 规则 相符 。 如 果 没 有 一 条 
规则 能 符合 ,防火 墙 就 会 使 用 默认 规则 ,一般 情况 下 ,默认 规则 就 是 要 求 防 火 墙 丢弃 该 包 。 
其 次 ,通过 定义 基于 TCP 或 UDP 网 包 的 端口 号 ,防火 墙 能 够 判断 是 否 允 许 建立 特定 的 连 
接 , 如 Telnet、FTP 连接 。 


16.1.2 电路 级 网 关 


电路 级 网 关 是 在 OSI 模型 的 会 话 层 (Session) 过 滤 网 包 , 这 样 比 包 过 滤 防 火 墙 要 高 二 
层 。 电 路 级 网 关 人 允许 用 户 通 过 身份 验证 后 穿 过 网 关 访 问 服 务 。 电 路 级 网 关 的 工作 方式 是 对 
信任 网 络 发 起 的 请 求 进行 中 转 。 中 转 过 程 中 源 IP 地 址 转换 为 电路 级 网 关 的 地 址 。 电 路 级 
网 关 控 制 受信 任 的 网 络 主机 与 不 受信 任 的 主机 间 的 TCP 握手 信息 ,这 样 来 决定 该 会 话 是 否 
合法 。 

电路 级 网 关 还 提供 一 个 重要 的 安全 功能 一 一 代理 服务 器 (Proxy Server) 。 代 理 服 务 器 
是 设置 在 网 关 的 专用 应 用 级 代码 。 这 种 代理 服务 准许 管理 员 人 允许 或 拒绝 特定 的 应 用 程序 或 
一 个 应 用 的 特定 功能 。 包 过 滤 技 术 和 应 用 级 网 关 是 通过 特定 的 逻辑 判断 来 决定 是 否 允 许 特 
定 的 网 包 通 过 ,一 旦 规则 匹配 ,防火墙 内 部 网 络 和 外 部 网 络 之 间 就 直接 连通 。 这 就 引入 了 代 
理 服务 的 概念 , 即 防火 墙 内 外 网 络 主机 应 用 层 的 连接 (Connection) 由 两 个 终止 于 代理 服务 
的 连接 来 实现 ,这 样 实现 了 防火 墙 内 外 网 络 的 隔离 。 同 时 ,代理 服务 还 可 引入 过 滤 、Web 过 
滤 ,协议 控制 和 报告 等 新 的 安全 功能 。 


16.1.3 应 用 级 网 关 


应 用 级 网 关 对 信任 网 络 用 户 来 说 是 一 个 服务 器 ,对 目标 服务 器 来 说 是 一 个 客户 端 , 它 提 
供 了 比 网 包 过 滤 机 制 更 高 的 安全 性 ,可 以 对 协议 进行 过 滤 ,对 内 部 的 网 络 服务 进行 保护 。 应 
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用 级 网 关 能 够 检查 进出 的 网 包 ,通过 网 关 复 制 传递 数据 ,防止 在 受信 任 服务 器 和 客户 机 与 不 
受信 任 的 主机 间 直 接 建 立 联系 。 

应 用 级 网 关 能 够 解析 应 用 层 的 协议 ,能够 做 协议 控制 ,并 做 审计 和 记录 ,针对 特别 的 网 
络 应 用 服务 协议 ,能够 对 其 分 析 并 形成 相关 的 报告 。 在 实际 工作 中 ,应 用 网 关 一 般 对 每 一 种 
协议 需要 相应 的 代理 软件 ,使 用 时 工作 量 大 ,效率 不 如 网 络 级 防火 墙 。 应 用 级 网 关 有 较 好 的 
访问 控制 ,是 目前 最 安全 的 防火 墙 技术 ,但 实现 困难 。 


16.1.4 网 包 状 态 检 查 


该 技术 结合 了 包 过 滤 防 火 墙 .电路 级 网 关 和 应 用 级 网 关 的 特点 。 它 同 网 包 过 滤 防 火 墙 
一 样 ,按照 规则 检查 防火 墙 能 够 通过 的 IP 地 址 和 端口 号 ,过 滤 进 出 的 网 包 。 它 同 电 路 级 网 
关 一 样 ,能 够 检查 SYN 和 ACK 标记 和 序列 号 是 否 正确 。 也 像 应 用 级 网 关 一 样 ,可 以 在 应 
用 层 上 检查 网 包 的 内 容 , 查 看 这 些 内 容 是 否 能 符合 企业 网 络 的 安全 规则 。 

规则 检查 防火 墙 虽然 集成 前 三 者 的 特点 ,但 是 不 同 于 一 个 应 用 级 网 关 的 是 , 它 并 不 打破 
客户 机 /服务 器 模式 来 分 析 应 用 层 的 数据 , 它 允 许 受 信任 的 客户 机 和 不 受信 任 的 主机 建立 直 
接连 接 。 规 则 检查 防火 墙 不 依靠 与 应 用 层 有 关 的 代理 ,而 是 依靠 算法 来 识别 进出 的 应 用 层 
数据 ,这 些 算法 通过 已 知 合法 网 包 的 模式 来 比较 进出 网 包 ,这样 比 应 用 级 网 关 代 理 在 过 滤 网 
包 上 更 有 效 。 


16.2 Untangle 系统 


Untangle 系统 是 一 个 具有 以 上 4 种 防火 墙 技术 的 UTM 设备 ,以 电路 级 网 关 为 主 , 并 
兼 有 应 用 级 网 关 特 点 的 UTM 设备 ,同时 具有 网 包 过 滤 和 网 包 状态 检查 功能 ,实现 内 外 网 络 
的 隔离 。 

在 会 话 层 ,Untangle 系统 是 一 个 电路 级 网 关 。Untangle 系统 是 基于 流 处 理 的 代理 模 
式 。 以 代理 的 模式 将 一 个 会 话 拆 分 为 两 段 . Untangle 本 身 作 为 一 个 中 间 代 理 ,与 连接 的 双 
方 分 别 建立 连接 。 代 理 模 式 的 特点 如 下 。 

CD 通过 UTM 的 会 话 被 拆 分 为 源 端 (src) 到 UTM 和 UTM 到 目的 端 (sink) 两 个 会 话 ， 
拆 分 过 程 对 于 原 会 话 双方 是 透明 的 。 

(2) 在 UTM 中 ,根据 会 话 的 各 种 基本 属性 ,以 及 应 用 层 协 议 内 容 对 会 话 做 出 相应 的 策 
略 判 断 : 通过 或 是 阻 断 。 

(3) 安全 应 用 模块 以 串联 的 方式 接 入 UTM 的 处 理 流 程 中 ,可 以 动态 启用 或 停止 ,加 入 
新 模块 或 删除 旧 模 块 。 

在 高 级 安全 应 用 处 理 层面 ,Untangle 系统 是 一 个 应 用 级 网 关 。 同 时 Untangle 系统 也 
采用 Linux 系统 的 IPtables 功能 ,而 IPtables 模块 具有 网 包 过 滤 防 火 墙 功 能 。 此 外 ， 
Untangle 系统 也 是 一 个 网 包 状 态 检查 防火 墙 , 具 有 自身 攻击 防御 和 DDoS 防御 功能 。 
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9817 8 Untangle 系统 功能 


17.1 Untangle 系统 架构 


Untangle 系统 是 一 种 分 层 的 架构 ,分 为 应 用 层 、 应 用 框架 层 、 系 统 运行 库 层 和 Debian 
Linux J£ 4 个 层次 ,从 下 往 上 依次 为 Debian Linux 系统 ,支持 系统 和 运行 时 ,Untangle 应 用 
框架 和 Untangle 安全 应 用 。 架 构图 如 图 17-1 所 示 。 


Protocol 
AntiPhish WebFilter Firewall Controller | | AntiSpyware 
Node 
Application 
== [= | = Ёз 
Framework | 
SE system 
(Untangle-pkgs) Libraries Runtime 
Debian Linux 
Untangle-kernels 


17-1 架构 图 


从 功能 上 看 ,Untangle 系统 主要 分 为 以 下 几 大 部 分 。 
(1) Debian Linux 基本 系统 。 
(2) Untangle 系统 文件 。 
(3) Untangle 虚拟 机 。 
(4) Linux-UVM 结合 部 。 
(5) 安全 主 功能 系统 。 
(6) Web 界面 系统 。 
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(7) 数据 库 系统 。 
(8) 高 可 用 人 性 。 
(9) 自身 安全 。 


17.2 Debian Linux 基本 系统 


Untangle 系统 基于 Debian Linux 版 本 ,目前 是 Debian 5。Untangle 作为 网 关系 统 , 自 
身 的 稳定 性 和 安全 性 至 关 重 要 ,而 Debian Linux 系统 以 其 稳定 性 和 安全 性 著称 ,是 当前 网 
关 服 务 器 的 首选 。 因 此 基于 Debian Linux 的 架构 是 Untangle 系统 的 基本 设计 选项 。 但 是 
也 需要 注意 ,由 于 Debian Linux 系统 的 稳定 性 要 求 .导致 测试 时 间 比 较 长 ,版 本 更 新 周期 
长 。 为 了 克服 以 上 缺点 ,Debian Linux 的 衍生 版 本 Ubuntu Linux 的 目标 就 是 版 本 更 新 速 
度 更 快 ,功能 更 丰富 。 

Debian Linux 系统 采用 deb 包 管 理 系统 ,通过 APT 包 管理 工具 管理 ,因此 Linux 内 核 、 
内 核 驱 动 .应 用 均 以 deb 安装 包 的 形式 存在 (扩展 名 为 deb). 

Untangle 系统 同时 集成 Linux 系统 安全 功能 模块 ,如 防火 墙 模块 NetFilter/IPtables、 
反 病 毒 模块 ClamAV ,流量 控制 管理 模块 TC、 反 垃圾 邮件 模块 SpamAssassin、 反 广告 件 模 
块 Adblock, 安全 通道 Stunnel、 信 侵 检 测 Snort 系统 规则 集 、 应 用 层 协 议 识别 L7-filter。 另 
外 也 集成 了 Apache Web 系统 、PostgreSQL 数据 库 、Monit 自身 监管 系统 等 。 

查看 当前 安装 的 deb 包 的 命令 有 aptitude 命令 和 apt 命令 ,所 有 deb 包 均 存放 在 以 下 
目录 中 ， 


/var/cache/apt/archives/ 

给 出 所 有 安装 的 deb 包 的 列表 命令 如 下 : 

#dpkg- - œt- selections \* > | selections.txt 

#dpkg- - set- selections« selections.txt 

从 包 源 代码 编译 新 的 deb 包 的 命令 如 下 (假定 源 代码 目录 是 foo-version) : 
#са foo version 

#su- c "apt- get update ; apt- get install fakeroot"V 


#dpkg- buildpackage- rfakeroot- us- uc 


#su- с "dokg- i ../foo version- revision arch.deb" 
17.3 Untangle 系统 文件 


除了 基本 Debian Linux 系统 外 ,Untangle 提供 了 bunnicula 目录 ,管理 所 有 其 安全 组 件 
配置 文件 信息 .运行 状况 日志, 数据 和 Web 管理 接口 的 层次 目录 ,如 下 所 示 。 


uwm /usr/bin/uum 

bunniculaHame- /usr/share/untangle 

bunnicula.lib.dir- /usr/share/untangle/lib (uvm libraries uvmoore jars.) 
bunnicula.toolbox.dir- /usr/share/untangle/toolbox (filter or service node jars.) 
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bunnicula.log.dir= /usr/share/mtangle/log (log files.) 

bunnicula.data.dir= /usr/share/untangle/data (data files.) 

bunnicula.db.dir- /usr/share/untangle/db (database files.) 

bunnicula.web.dir- /usr/share/untangle/web (servlet directories.) 
bumnicula.onf.dir= /usr/share/untangle/onnf (configuration files,adned to classpath.) 
bunnicula.tmp.dir- /usr/share/untangle/tmp (temporary files.) 
bunnicula.lang.dir= /usr/share/untangle/lang (languages resources filesIl8n.) 
bunnicula.skins.dir- ?? (skins files.) 


静态 配置 文件 目录 主要 在 : 


/usr/share/untangle/ 
/usr/share/untangle- apache2- config/ 
/usr/share/untangle- cli- client/ 
/usr/share/untangle- cli- server/ 
/usr/share/untangle- fuzzyocr/ 
/usr/share/untangle- kiosk/ 
/usr/share/untangle- ldap- server/ 
/usr/share/untangle- linux- config/ 
/usr/share/untangle- net- alpaca/ 
/usr/share/untangle- nsis- addons/ 
/usr/share/untangle- shield/ 
/usr/share/untangle- snort- rules/ 
/usr/share/untangle- spamassassin- update/ 
/usr/share/untangle- system- config/ 
/usr/share/untangle- ujac?pd£/ 
/usr/share/untangle- update- manager/ 
/usr/share/untangle- webfilter- init/ 


本 地 管理 桌面 工具 集 及 对 应 的 脚本 如 下 : 


/usr/share/untangle- kiosk/hares/kiosk/utils/ut- desktop.sh 
/usr/share/untangle- kiosk/hames/kiosk/utils/ut- reboot.sh 
/usr/share/untangle- kiosk/hames/kiosk/utils/ut- restore.sh 
/usr/share/untangle- kiosk/hames/kiosk/utils/ut- shell.sh 
/usr/share/untangle- kiosk/hames/kiosk/utils/screensaver.sh 
/usr/share/untangle- kiosk/hares/kiosk/utils/ut- off.sh 
/usr/share/untangle- kiosk/hames/kiosk/utils/ut- resolution.sh 
/usr/share/untangle/shield 

http://localhost :3001 


动态 配置 修改 后 的 脚本 文件 主要 在 : 


/etc/untangle/ 

/etc/untangle- ldap/ 

/etc/untangle- net- alpaca/ 

/etc/untangle- net- alpaca/tc- rules.d/ 流量 管理 动态 规则 生成 

/etc/untangle- net- alpaca/iptables- rules.d iptables 动态 规则 生成 
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启动 Daemon 与 启动 配置 的 脚本 在 目录 /etc/init. 4/: 


untangle- hardware- config 
untangle- net- alpaca 
untangle- net- alpaca- iptables 
untangle- reports 

untangle- restore- tools 
untangle- shield 

untangle- slapd 

untangle- vm 

watchdog @ {Ж I] 44 ) 

bypass (软件 bypass) 


17.4 Untangle 虚拟 机 


Untangle 系统 软件 以 Java 代码 为 主体 ,这 部 分 代码 主要 在 uvm-lib 目录 中 体现 ,入 口 
点 如 下 : 


srcNuvm- Lib\bootstrap\cam\untangle\uvm\engine\Main.java 


Untangle Server 使 用 虚拟 机 的 概念 , 称 为 Untangle Virtual Machine( UVM). Е 526 
F Java 虚拟 机 (JVM) 的 一 个 Linux 进程 ,是 运行 各 安全 组 件 (线程 ) 的 平台 。 在 UVM E, 
所 有 安全 功能 组 件 都 被 抽象 为 node agent vectron。 这 种 实现 方法 的 优势 是 借助 Java 与 平 
台 无 关 的 特性 ,能 够 很 方便 地 移植 到 其 他 操作 系统 平台 上 。 另 外 ,所 有 其 他 安全 组 件 的 抽象 
可 以 动态 加 载 . 启 动 、 更 新 .关闭 和 缉 载 。 

UVM 之 上 的 功能 组 件 提供 的 各 种 服务 ,包括 各 种 管理 器 、 管 道 等 的 接口 和 实现 ,如 配 
置 管理 器 、 备 份 管理 等 ,应 用 组 件 的 基 类 和 接口 等 。 

Untangle 借助 了 很 多 开源 的 Java 28g (\src\uvm-lib\lib\ * . jar 文件 ) ,如 PostgreSQL 
JDBC Driver, C3P0, Hibernate, Apache Commons, log4j 等 , 详 见 附录 A. 


17.5 Linux-UVM 结合 部 


Linux-UVM 结合 部 主要 是 用 C 语言 编写 的 3 个 库 libnetcap, libmvutil, libvector 和 
Java JNI 的 底层 jnetcap. c, jmvutil. c,jvector. c。 其 中 考虑 到 效率 问题 ,这 部 分 采用 JNI 
(Java Native Interface) ,Java 代码 可 以 直接 调用 libnetcap, libmvutil, libvector JE pA RX. 

底层 libnetcap 采用 pthread 多 线程 (POSIX Thread), 。 用 户 线程 进行 系统 调用 发 生 阻 
塞 时 ,整个 进程 都 会 被 阻塞 ;内 核 线程 允许 一 个 线程 被 阻塞 时 ,其余 正常 运行 。 


17.5.1 实现 关键 技术 


1. 多 线程 技术 
多 线程 的 核心 是 并 发 执行 多 任务 ,并行 (Parallel) 与 并 发 (Concurrent) 是 两 个 不 同 的 概 
念 。 多 线程 并 行 执行 是 指 这 些 活动 的 线程 在 不 同 的 硬件 资源 或 者 处 理 单元 上 同时 执行 , 即 
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在 任何 时 间 点 上 都 是 同时 执行 的 。 而 多 个 线程 并 发 执行 是 指 在 同一 个 硬件 资源 上 交替 执 
行 , 即 在 某 个 时 间 点 上 只 有 一 个 线程 执行 。 

线程 定义 为 CPU 资源 占用 的 一 个 单位 ,包括 指向 指令 流 中 当期 指令 的 程序 计数 器 、 当 
前 线程 的 CPU 状态 信息 以 及 堆栈 等 其 他 资源 。 

实际 处 理 器 由 大 量 的 资源 组 成 ,包括 体系 结构 状态 ,如 寄存 器 、Cache、 总 线 、 执 行 单元 
等 。 通 过 复制 体系 结构 的 状态 信息 的 方法 就 可 以 创建 多 个 逻辑 处 理 器 (或 者 线程 ) 。 执 行 资 
源 就 可 以 被 不 同 逻辑 处 理 器 共享 ,这 种 技术 叫做 SMT (Simultaneous Multi-Threading) 。 与 
SMT 对 应 的 是 CMT(Chip Multi-Threading) ,基于 多 核 CPU ,能 够 支持 真正 的 硬件 多 线程 
技术 。 

Intel SMT 实现 的 超 线程 技术 (Hyper-Threading,HT) 是 通过 时 延 隐藏 的 方法 来 提高 
处 理 器 的 性 能 。 超 线程 上 的 线程 执行 并 非 真 正 意义 上 的 并 行 。 

进程 是 离散 的 程序 任务 的 集合 。 每 个 进程 拥有 独立 的 地 址 空间 。 一 个 进程 的 所 有 线程 
共享 同一 个 地 址 空间 。 每 个 程序 都 由 一 个 或 多 个 进程 组 成 ,同时 每 个 进程 包含 一 个 或 多 个 
线程 ,每 个 线程 都 被 操作 系统 调度 程序 映射 到 处 理 器 上 执行 。 处 理 器 允许 程序 员 向 操作 系 
统 请 求 将 特定 的 线程 映射 到 特定 的 处 理 器 上 。 

线程 从 软件 上 讲 就 是 相关 指令 的 离散 序列 。 每 个 程序 至 少 包 含 一 个 线程 , 那 就 是 主线 
程 。 主 线程 负责 程序 的 初始 化 工作 ,并 且 执 行 初始 化 指令 ,随后 主线 程 会 为 执行 各 种 不 同 任 
务 而 分 别 创建 其 他 的 线程 。 每 个 线程 都 会 维持 自己 当前 的 机 器 状态 。 

从 硬件 上 讲 ,线程 就 是 一 条 与 其 他 硬件 线程 执行 路 径 相互 独立 的 执行 路 径 。 操 作 系 统 
的 工作 就 是 将 软件 线程 映射 到 硬件 执行 资源 上 。 

线程 包括 用 户 级 (或 应 用 程序 ) 线 程 、 内 核 级 线程 和 硬件 线程 。 单 个 程序 线程 包含 以 上 
三 个 层面 ,被 操作 系统 作为 内 核 线程 实现 ,进而 作为 硬件 线程 来 执行 。 

操作 系统 之 上 的 线程 的 运行 原理 如 下 : 在 线程 定义 和 准备 阶段 ,程序 设计 环境 完成 对 
线程 的 指定 ,编译 器 完成 对 线程 的 编译 。 在 运行 阶段 ,操作 系统 完成 对 线程 的 创建 和 管理 。 
最 后 ,在 执行 阶段 ,处 理 器 对 线程 指令 序列 进行 实际 执行 。 

依赖 于 运行 时 环境 的 应 用 程序 代码 称 为 托管 代码 (Managed Code)。 托 管 代 码 在 托管 
环境 中 运行 ,托管 环境 执行 应 用 程序 函数 并 将 这 些 函 数 转化 为 对 底层 操作 系统 的 调用 。 托 
管 环境 包括 ТУМ 和 CLR。 托 管 环境 本 身 不 提供 任何 调度 功能 ,而 是 依赖 于 操作 系统 的 
调度 。 

应 用 程序 线程 可 以 由 内 建 API 调用 来 实现 ,最 常用 的 是 显 式 线程 库 pthreads 和 
windows 线程 库 。 操 作 系 统 内 核 维护 着 大 量 用 于 追踪 进程 与 线程 的 表格 。 绝 大 多 数 的 线程 
级 行为 依赖 于 内 核 级 线程 ,如 pthreads 库 。 内 核 线程 能 够 提供 更 好 的 性 能 ,并 且 同 一 进程 
的 多 个 内 核 线程 能 够 同时 在 不 同 的 处 理 器 或 执行 核 上 运行 。 但 是 内 核 级 线程 的 相关 开销 要 
比 用 户 级 线程 要 高 很 多 。 因 此 经 常 采取 重用 内 核 级 线程 的 策略 来 降低 开销 。 

1) pthread 基础 

CD 线程 简介 。 

在 传统 UNIX 编程 模型 中 , 当 一 个 进程 需要 由 另 一 个 实体 执行 某 件 事 时 ,该 进程 派生 
(Fork) 一 个 子 进程 ,让 子 进程 去 进行 处 理 。 主 要 的 使 用 场景 是 UNIX 下 的 网 络 服务 器 程 
序 , 即 父 进程 接受 连接 ,派生 子 进程 , 子 进程 处 理 与 客户 的 交互 。 
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虽然 这 种 模型 使 用 得 较 好 ,但 是 派生 时 存在 一 些 问题 。 

CD 派生 操作 代价 比较 高 。 内 存 映 像 要 从 父 进程 复制 到 子 进程 ,所 有 描述 符 要 在 子 进程 
中 复制 等 。 目 前 有 的 UNIX 实现 使 用 一 种 叫做 写 时 复制 (Copy-on-Write) 的 技术 ,可 避免 父 
进程 数据 空间 向 子 进程 的 复制 。 尽 管 有 这 种 优化 技术 ,派生 代价 依然 比较 高 。 

@ 派生 子 进 程 后 ,需要 用 进程 间 通 信 (IPC) 在 父子 进程 之 间 传 递 信息 。 派 生 之 前 的 信 
息 容 易 传 递 , 因 为 子 进程 从 一 开始 就 有 父 进程 数据 空间 及 所 有 描述 字 的 副本 。 但 是 从 子 进 
程 返 回信 息 给 父 进程 需要 做 更 多 的 工作 。 

线程 有 助 于 解决 这 两 个 问题 。 线 程 有 时 被 称 为 轻 量 级 进程 (Lightweight Process) , 因 
为 线程 比 进程 “ 轻 量 级 ”, 一 般 来 说 ,创建 一 个 线程 要 比 创建 一 个 进程 快 10 一 100 f. 

一 个 进程 中 的 所 有 线程 不 仅 共享 全 局 变量 ,而 且 共享 进程 指令 .大 多 数 数据 .打开 的 文 
件 ( 如 描述 字 )、 信 和 号 处 理 程序 和 信号 处 置 . 当 前 工作 目录 .用户 ID 和 组 ID。 但 是 每 个 线程 
有 自己 的 线程 ID .寄存 器 集合 (包括 程序 计数 器 和 栈 指 针 )、 栈 (用 于 存放 局 部 变量 和 返回 地 
HE) А (Error) ,信号 掩 码 (Sigmask) 和 优先 级 。 

一 个 进程 中 的 所 有 线程 共享 相同 的 全 局 内 存 , 这 使 得 线程 很 容易 共享 信息 ,但 是 这 种 简 
易 性 也 带 来 了 同步 问题 。 

(2) pthread 线程 基本 函数 。 

在 Linux 中 线程 编程 符合 POSIX. 1 标准 , 称 为 pthreads。 所 有 的 pthread 函数 都 以 
pthread_ 开 头 。pthread 库 主要 有 5 个 基本 线程 函数 ,在 调用 前 均 要 包含 pthread. h 头 文件 。 

第 一 个 函数 如 下 : 


int pthread create (pthread t * tid,const pthread attr t * attr,void * (* func) (void * ),void * arg); 


一 个 进程 中 的 每 个 线程 都 由 一 个 线程 IDC thread ID) 标 识 , 其 数据 类 型 是 pthread_t( 常 
常 是 unsigned int) 。 如 果 新 的 线程 创建 成 功 ,其 ID 将 通过 tid 指针 返回 。 

每 个 线程 都 有 很 多 属性 ,其 中 包括 优先 级 、 起 始 栈 大 小 、 是 否 应 该 是 一 个 守护 线程 等 , 当 
创建 线程 时 ,可 通过 初始 化 一 个 pthread_attr_t 变量 说 明 这 些 属性 以 覆盖 默认 值 。 人 们 通 
常 使 用 默认 值 ,在 这 种 情况 下 ,将 attr 参数 说 明 为 空 指针 。 

最 后 , 当 创 建 一 个 线程 时 ,需要 说 明 一 个 它 将 执行 的 函数 。 线 程 以 调用 该 函数 开始 , 然 
后 或 者 显 式 地 终止 (调用 pthread_exit) 或 者 隐 式 地 终止 (让 该 函数 返回 )。 函 数 的 地 址 由 
func 参数 指定 ,该 函数 的 调用 参数 是 一 个 指针 ага, 如果 需 要 多 个 调用 参数 ,必须 将 它们 打 
包 成 一 个 结构 ,然后 将 其 地 址 当 作 唯一 的 参数 传递 给 起 始 函 数 。 

在 func 和 arg 的 声明 中 ,func 函数 取 一 个 通用 指针 (void x ) 参 数 ,并 返回 一 个 通用 指 
针 (void * ) ,这 就 使 得 人 们 可 以 传递 一 个 指针 (指向 任何 想 要 指向 的 东西 ) 给 线程 ,由 线程 
返回 一 个 指针 (同样 指向 任何 想 要 指向 的 东西 )。 调 用 成 功 ,返回 0, 出 错时 返回 正 值 。 
Pthread 函数 不 设置 错误 号 errno. 

第 二 个 函数 如 下 : 

int pthread join (pthread t tid,void * * status); 

该 函数 等 待 一 个 线程 终止 。 把 线程 和 进程 相 比 ,pthread_creat 类 似 于 fork. 而 
pthread join 类 似 于 waitpid。 人 们 需要 等 待 线程 的 tid, 很 可 惜 , 人 们 没有 办 法 等 待 任意 一 
个 线程 结束 。 如 果 status 指针 非 空 ,线程 的 返回 值 (一 个 指向 某 个 对 象 的 指针 ) 将 存放 在 
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status 指向 的 位 置 。 
第 三 个 函数 如 下 : 


pthread t pthread self (void) ; 
每 个 线程 都 有 一 个 ID 以 在 给 定 的 进程 内 标识 自己 。 线 程 ID 由 pthread_creat 返回 ,可 


以 调用 pthread_self 取得 自己 的 线程 ID。 

第 四 个 函数 如 下 : 

int pthread detach (pthread t tid); 

线程 或 者 是 可 汇合 的 (Joinable) 或 者 是 脱离 的 (Detached) 。 当 可 汇合 的 线程 终止 时 ,其 
线程 ID 和 退出 状态 将 保留 ,直到 另外 一 个 线程 调用 pthread_join。 脱 离 的 线程 则 像 守 护 进 
程 : 当 它 终 止 时 ,所 有 的 资源 都 释放 ,人 们 不 能 等 待 它 终止 。 如 果 一 个 线程 需要 知道 另 一 个 
线程 什么 时 候 终止 ,最 好 保留 第 二 个 线程 的 可 汇合 性 。pthread_detach 函数 将 指定 的 线程 
变 为 脱离 的 。 该 函数 通常 被 想 脱 离 自 己 的 线程 调用 ,如 pthread_detach(pthread_self())。 

第 五 个 函数 如 下 : 


void pthread exit (void * status); 


该 函数 终止 线程 。 如 果 线 程 未 脱离 ,其 线程 ID 和 退出 状态 将 一 直 保 留 到 调用 进程 中 的 
某 个 其 他 线程 调用 pthread_join 函数 。 指 针 status 不 能 指向 局 部 于 调用 线程 的 对 象 ,因为 
线程 终止 时 这 些 对 象 也 消失 。 有 两 种 其 他 方法 可 使 线程 终止 。 

CD 启动 线程 的 函数 (pthread_creat 的 第 3 个 参数 ) 返 回 。 既 然 该 函数 必须 说 明 为 返回 
一 个 void 指针 ,该 返回 值 便 是 线程 的 终止 状态 。 

© 如 果 进 程 的 main 函数 返回 或 者 任何 线程 调用 了 exit ,进程 将 终止 ,线程 将 随 之 
终止 。 

(3) pthread 线程 属性 设置 。 

O 线程 属性 设置 。 

用 pthread_create 函数 创建 一 个 线程 ,在 这 个 线程 中 ,使 用 默认 参数 ,即将 该 函数 的 第 
二 个 参数 设 为 NULL。 的 确 , 对 大 多 数 程序 来 说 ,使 用 默认 属性 就 足够 了 ,但 还 是 有 必要 来 
了 解 一 下 线程 的 有 关 属 性 。 

属性 结构 为 pthread_attr_t, 它 同样 在 头 文件 pthread. h 中 定义 ,属性 值 不 能 直接 设置 ， 
必须 使 用 相关 函数 进行 操作 ,初始 化 的 函数 为 pthread_attr_init, 这 个 函数 必须 在 pthread_ 
create 函数 之 前 调用 。 属 性 对 象 主要 包括 是 否 绑 定 、 是 否 分 离 ,堆栈 地 址 ,堆栈 大 小 、 优 先 
级 。 默 认 的 属性 为 非 绑 定 , 非 分 离 . 缺 省 的 堆栈 ,与 父 进程 同样 级 别 的 优先 级 。 

© p. 

关于 线程 的 绑 定 ,牵涉 另外 一 个 概念 : 轻 量 级 进程 (Light Weight Process, LWP). 4% 
量 级 进程 可 以 理解 为 内 核 线程 , 它 位 于 用 户 层 和 系统 层 之 间 。 系 统 对 线程 资源 的 分 配 、 对 线 
程 的 控制 是 通过 轻 量 级 进程 来 实现 的 ,一 个 轻 量 级 进程 可 以 控制 一 个 或 多 个 线程 。 默 认 情 
况 下 ,启动 多 少 轻 量 级 进程 .哪些 轻 量 级 进程 来 控制 哪些 线程 是 由 系统 来 控制 的 ,这 种 状况 
称 为 非 绑 定 的 。 绑 定 状况 下 , 某 个 线程 固定 地 绑 在 一 个 轻 量 级 进程 之 上 。 被 绑 定 的 线程 具 
有 和 较 高 的 响应 速度 ,这 是 因为 CPU 时 间 片 的 调度 是 面向 轻 量 级 进程 的 , 绑 定 的 线程 可 以 保 
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证 在 需要 的 时 候 它 总 有 一 个 轻 量 级 进程 可 用 。 通 过 设置 被 绑 定 的 轻 量 级 进程 的 优先 级 和 调 
度 级 可 以 使 得 绑 定 的 线程 满足 诸如 实时 反应 之 类 的 要 求 。 

设置 线程 绑 定 状态 的 函数 为 pthread_attr_setscope, 它 有 两 个 参数 ,第 一 个 是 指向 属性 
结构 的 指针 ;第 二 个 是 绑 定 类 型 , 它 有 两 个 取 值 : PTHREAD SCOPE SYSTEM (46% BJ) 
和 PTHREAD_SCOPE_PROCESS( 非 绑 定 的 )。 下 面 的 代码 即 创建 了 一 个 绑 定 的 线程 ， 


pthread attr t attr; 
pthread t tid; 


属性 值 初始 化 时 , 均 设 为 默认 值 。 


pthread attr init(&attr); 

pthread attr setscope(sattr, PIHREAD SCOPE SYSTEM); 

pthread create (&tid, &attr, (void * )my function, NULL); 

@ 线程 的 分 离 状 态 。 

线程 的 分 离 状 态 决 定 一 个 线程 以 什么 样 的 方式 来 终止 自己 。 非 分 离 的 线程 终止 时 ,其 
线程 ID 和 退出 状态 将 保留 ,直到 另外 一 个 线程 调用 pthread_join。 分 离 的 线程 在 当 它 终止 
时 ,所 有 的 资源 将 释放 ,人 们 不 能 等 待 它 终 止 。 设 置 线程 分 离 状态 的 函数 为 pthread_attr_ 
setdetachstate(pthread attr t * аит, іп detachstate)。 第 二 个 参数 可 选 为 PTHREAD_ 
CREATE_DETACHED( 分 离线 程 ) 和 PTHREAD CREATE_JOINABLE( 非 分 离线 程 )。 
这 里 要 注意 的 一 点 是 ,如 果 设 置 一 个 线程 为 分 离线 程 ,而 这 个 线程 运行 又 非常 快 , 它 很 可 能 
在 pthread create 函数 返回 之 前 就 终止 了 , 它 终止 以 后 就 可 能 将 线程 号 和 系统 资源 移交 给 
其 他 的 线程 使 用 ,这 样 调用 pthread_create 的 线程 就 得 到 了 错误 的 线程 号 。 要 避免 这 种 情 
况 可 以 采取 一 定 的 同步 措施 ,最 简单 的 方法 之 一 是 可 以 在 被 创建 的 线程 里 调用 pthread_ 
cond_timewait 函数 ,让 这 个 线程 等 待 一 会 儿 , 留 出 足够 的 时 间 让 函数 pthread_create 返回 。 
设置 一 段 等 待 时 间 是 在 多 线程 编程 里 常用 的 方法 。 

Ф 优先 级 。 

它 存放 在 结构 sched param 中 。 用 函数 pthread_attr_getschedparam fil PR Zt pthread_ 
attr_setschedparam 进行 存放 ,一 般 说 来 ,人 们 总 是 先 取 优先 级 ,对 取得 的 值 修 改 后 再 存放 
回去 。 下 面 即 是 一 段 简 单 的 例子 : 


pthread attr t attr; pthread t tid; 
sched_param param; 

int newprio- 20; 

属性 值 初始 化 时 , 均 设 为 默认 值 。 
pthread attr init (sattr); 


将 优先 级 值 传人 pthread 属性 值 。 


pthread attr getschedparam(&attr, &param); 
param.sched priority-newprio; 
pthread attr setschedparam(&attr, &param); 
pthread create (&tid, &attr, (void * )myfunction, myarg); 
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(A) 创建 线程 特定 数据 的 键 值 。 

单线 程 C 程序 有 两 类 基本 数据 : 局 部 数据 (Local) 和 全 局 数据 (Global) 。 

对 于 多 线程 C 程序 ,添加 了 第 三 类 数据 : 线程 特定 数据 或 特定 于 线程 的 数据 (TSD/ 
TLS,Thread Local Data/State Data) 。 线 程 特定 数据 与 全 局 数据 非常 相似 ,区 别 在 于 前 者 
为 线程 专 有 。 

线程 特定 数据 由 每 个 线程 进行 维护 ,每 个 线程 特定 数据 项 都 与 一 个 作用 于 进程 内 所 有 线 
程 的 键 (key) 关 联 。 通 过 使 用 key, 线 程 可 以 访问 基于 每 个 线程 进行 维护 的 指针 (void * ) 。 

pthread key create 语法 如 下 : 


int pthread key create (pthread key t * key, void(* destructor) (void * )); 


pthread key create() 在 成 功 完 成 之 后 返回 零 。 其 他 任何 返回 值 都 表示 出 现 了 错误 。 
如 果 出 现 以 下 任 一 情况 ,pthread_key_create() 将 失败 并 返回 相应 的 值 。 

Ф ЕАСАІМ. 

HH: key 名 称 空间 已 经 用 完 。 

@ ENOMEM, 

描述 : 此 进程 中 虚拟 内 存 不 足 ,无 法 创建 新 键 。 

(5) 删除 线程 特定 数据 的 键 值 。 

使 用 pthread_key_delete() 可 以 销毁 现 有 线程 特定 数据 键 。 由 于 键 已 经 无 效 , 因 此 将 
释放 与 该 键 关联 的 所 有 内 存 。 引 用 无 效 键 将 返回 错误 。Solaris 线程 中 没有 类 似 的 函数 。 

pthread_key_delete 语法 如 下 : 


int pthread key delete (pthread key t key); 

pthread_key_delete() 在 成 功 完成 之 后 返回 零 。 其 他 任何 返回 值 都 表示 出 现 了 错误 。 
如 果 出 现 以 下 情况 ,pthread_key_delete() 将 失败 并 返回 相应 的 值 。 

EINVAL 

描述 : key 的 值 无 效 。 

(6) 设置 线程 特定 数据 

使 用 pthread_setspecific() 可 以 为 指定 线程 特定 数据 键 设置 线程 特定 绑 定 。 

pthread_setspecific 语法 如 下 : 

int pthread_setspecific (pthread key t key, const void * value); 

pthread_setspecific() 在 成 功 完成 之 后 返回 零 。 其 他 任何 返回 值 都 表示 出 现 了 错误 。 
如 果 出 现 以 下 任 一 情况 ,pthread_setspecific() 将 失败 并 返回 相应 的 值 。 

@ ЕМОМЕМ, 

描述 : 虚拟 内 存 不 足 。 

@ EINVAL, 

描述 : key 无 效 。 

注意 : 设置 新 绑 定 时 ,pthread_setspecific() 不 会 释放 其 存储 空间 。 必 须 释 放 现 有 绑 
定 , 和 否则 会 出 现 内 存 泄漏 。 

(7) 获取 线程 特定 数据 。 
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使 用 pthread_getspecific() 获取 调用 线程 的 键 绑 定 ,并 将 该 绑 定 存储 在 value 指向 的 
位 置 中 。 
pthread_getspecific 语法 如 下 


void * pthread getspecific (pthread key t key); 


pthread getspecific 不 返回 任何 错误 。 

和 进程 相 比 ,线程 的 最 大 优点 之 一 是 数据 的 共享 性 ,各 个 进程 共享 父 进程 的 数据 段 , 可 
以 方便 读 取 、 修 改 数据 。 但 这 也 给 多 线程 编程 带 来 了 许多 问题 。 必 须 当心 有 多 个 不 同 的 进 
程 访 问 相 同 的 变量 。 许 多 函数 是 不 可 重信 的 , 即 同时 不 能 运行 一 个 函数 的 多 个 副本 (除非 使 
用 不 同 的 数据 段 ) 。 在 函数 中 声明 的 静态 变量 常常 带 来 问题 ,函数 的 返回 值 也 会 有 问题 。 因 
为 如 果 返 回 的 是 函数 内 部 静态 声明 的 空间 的 地 址 , 则 在 一 个 线程 调用 该 函数 得 到 地 址 后 使 
用 该 地 址 指向 的 数据 时 , 别 的 线程 可 能 调用 此 函数 并 修改 了 这 一 段 数据 。 在 进程 中 共享 的 
变量 必须 用 关键 字 volatile 来 定义 ,这 是 为 了 防止 编译 器 在 优化 时 (如 gee 中 使 用 -ox 参数 ) 
改变 它们 的 使 用 方式 。 为 了 保护 变量 ,必须 使 用 信号 量 、 互 斥 等 方法 来 保证 对 变量 的 正确 
使 用 。 

2) pthread 详解 

CD 线程 模型 。 

从 Linux 2. 6 内 核 开 始 ,Linux 采用 了 NPTL(Native POSIX Thread Library) 线 程 模 
型 。NPTL 是 一 个 1X1 线程 函数 库 。 用 户 产生 的 线程 与 内 核能 够 分 配 的 对 象 之 间 的 联系 
是 一 对 一 的 ,这 是 所 有 线程 程序 中 最 简单 的 。 

pthread 由 Thread ID.Stack.Policy.Signal mask、Errno、Thread-Specific Data 组 成 。 

(2) 线程 标识 。 

(D pthread_t 用 于 表示 Thread ID, 具 体内 容 根据 实现 的 不 同 而 不 同 , 有 可 能 是 一 个 
Structure, 因 此 不 能 将 其 看 做 整数 。 

© pthread_equal 函数 用 于 比较 两 个 pthread_t 是 否 相 等 ,格式 如 下 : 


#includeint pthread equal (pthread t tidl, pthread t tid?) 
@ pthread_self 函数 用 于 获得 本 线程 的 Thread ID, 格 式 如 下 : 


#includethread t pthread self (void); 


(3) 创建 线程 。 

(D 创建 线程 可 以 调用 pthread_create PAR: 

int pthread create( 

pthread t * restrict tidp, /返回 最 后 创建 出 来 的 线程 的 Thread ID 

const pthread attr t * restrict attr, /指定 线程 的 属性 ,现在 可 以 用 NULL 

void * (* start rtn) (void * ), VAR ER FE PRIUS EE 7K PR BG [6] — 4 void, 参 数 也 为 void 
void * restrict arg); \INE A ER ER ра ЖСН) BBL 


©) pthread 函数 在 出 错 的 时 候 不 会 设置 errno, 而 是 直接 返回 错误 值 。 
© 在 Linux 系统 下 面 ,在 2.6 内 核 之 前 ,线程 被 看 作 一 种 特殊 、 可 共享 地 址 空间 和 资源 
的 进程 ,因此 在 同一 个 进程 中 创建 的 不 同 线程 具有 不 同 的 Process ID( 调 用 getpid 函数 获 
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得 )。Linux 采 用 了 NPTL(Native POSIX Thread Library) 线 程 模型 。 在 该 线程 模型 下 同 
一 进程 下 不 同 线程 调用 getpid 返回 同一 个 Process ID. 

@ 不 能 对 创建 的 新 线程 和 当前 创建 者 线程 的 运行 顺序 做 出 任何 假设 。 

(4) 线程 终结 。 

(D exit, Exit, exit 用 于 中 止 当 前 进程 ,而 非 线 程 。 

© 中 止 线程 可 以 有 三 种 方式 。 

а. 在 线程 函数 中 返回 。 

b. 被 同一 进程 中 的 另外 的 线程 取消 掉 。 

c. 线程 调用 pthread_exit р. 

@ pthread_exit 和 pthread join 函数 的 用 法 。 

a. 线程 A 调用 pthread_join(B,&rval_ptr) ,被 阻塞 ,进入 分 离 状态 (如 果 已 经 进入 分 离 
状态 , 则 pthread_join 函数 返回 EINVAL)。 如 果 对 B 的 结束 代码 不 感 兴趣 , 则 rval_ptr 可 
以 传 NULL。 

b. 线程 B 调用 pthread_exit(rval_ptr) ,退出 线程 B, 结 束 代码 为 rval_ptr。 注 意 rval_ 
ptr 指向 内 存 的 生命 周期 ,不 应 该 指向 B 的 堆栈 中 的 数据 。 

c. 线程 A 恢复 运行 ,pthread_join 函数 调用 结束 ,线程 B 的 结束 代码 被 保存 到 rval_ptr 
参数 中 去 。 如 果 线 程 B 被 取消 ,那么 rval_ptr 的 值 就 是 PTHREAD_CANCELLED。 

两 个 函数 原型 如 下 : 


void pthread exit (void * rval ptr); 
int pthread join (pthread t thread, void **rval ptr); 


Ф 一 个 线程 可 以 要 求 另 一 个 线程 被 取消 ,通过 调用 pthread_cancel ЮЖ: 

void pthread cancel (pthread t tid); 

该 函数 会 使 指定 线程 如 同调 用 了 pthread_exit(PTHREAD_CANCELLED)。 不 过 , 指 
定 线程 可 以 选择 忽略 或 者 进行 自己 的 处 理 , 在 后 面 会 讲 。 此 外 ,该 函数 不 会 导致 Block ,只 
是 发 送 Cancel 这 个 请 求 。 

C) 线程 可 以 安排 在 它 退出 的 时 候 , 某 些 函 数 自动 被 调用 ,类 似 atexit 函数 。 需 要 调用 
An FERA. 


void pthread cleanup push(void(* rtn) (void * ), void * arg); 

void pthread cleanup pop(int execute); 

这 两 个 函数 维护 一 个 函数 指针 的 Stack, 可 以 把 函数 指针 和 函数 参数 值 push/pop。 执 
行 的 顺序 则 是 从 栈 顶 到 栈 底 ,也 就 是 和 push 的 顺序 相反 。 

在 下 面 情况 下 ,pthread_cleanup_push 所 指定 的 thread cleanup handlers 会 被 调用 : 

a. 调用 pthread exit, 

b. 相应 Cancel 请 求 。 

c. 以 非 0 参数 调用 pthread_cleanup_pop()。 如 果 以 0 调用 pthread_cleanup_pop()， 
那么 handler 不 会 被 调用 。 

由 于 这 两 个 函数 可 能 用 宏 的 方式 来 实现 ,因此 这 两 个 函数 的 调用 必须 得 是 在 同一 个 

* 132 * 


Scope 之 中 ,并 且 配 对 ,因为 在 pthread_cleanup_push 的 实现 中 可 能 有 一 个 “{”, 而 pthread_ 
cleanup. pop 可 能 有 一 个 “)”。 因 此 ,一般 情况 下 ,这 两 个 函数 是 用 于 处 理 意 外 情况 用 的 , 举 
例如 下 : 


void x thread func(void * arg) 

{ 

pthread cleanup push (cleamp, "handler") 

// do sarething 

Pthread cleanup рор (0); 

retum((void * )0); 

} 

@ 默认 情况 下 ,一 个 线程 A 的 结束 状态 被 保存 下 来 直到 pthread_join 为 该 线程 被 调用 
过 ,也 就 是 说 即使 线程 A 已 经 结束 ,只 要 没有 线程 B 调用 pthread_join(A),A 的 退出 状态 
则 一 直 被 保存 。 而 当 线程 处 于 Detached 状态 之 时 , 当 线程 退出 的 时 候 , 其 资源 可 以 立刻 被 
回收 ,那么 这 个 退出 状态 也 丢失 了 。 在 这 个 状态 下 ,无 法 为 该 线程 调用 pthread_join 函数 。 
我 们 可 以 通过 调用 pthread_detach 函数 来 使 指定 线程 进入 Detached 状态 : 


int pthread detach (pthread t tid); 
通过 修改 调用 pthread_create 函数 的 attr 参数 ,可 以 指定 一 个 线程 在 创建 之 后 立刻 就 


进入 Detached 状态 。 
QD 进程 函数 和 线程 函数 的 相关 性 如 表 17-1 所 示 。 


表 17-1 进程 函数 和 线程 函数 的 相关 性 


原 语 进程 原 语 线 程 描 述 

fork pthread_create 创建 新 的 控制 流 

exit pthread_exit 退出 已 有 的 控制 流 

waitpid pthread_join 等 待 控 制 流 并 获得 结束 代码 

atexit pthread_cleanup_push 注册 在 控制 流 退出 时 候 被 调用 的 函数 
getpid pthread_self 获得 控制 流 的 ID 

abort pthread_cancel 请 求 非 正常 退出 


(5) 线程 同步 。 

(D Heit: Mutex。 

a. 用 于 互 斥 访问 。 

b. 类 型 pthread_mutex_t. АЧИ PTHREAD_MUTEX_INITIALIZER (用 
于 静态 分 配 的 mutex. | ffr T pthread_mutex_init (+++, NULL) ) 9 # 38] H] pthread_mutex_ 
init 函数 。Mutex 也 应 该 用 pthread_mutex_destroy 函数 来 销毁 。 这 两 个 函数 原型 如 下 : 

#include 

int pthread mutex init ( 

pthread mutex t * restrict mutex, 


const pthread mitexattr t * restrict attr) 

int pthread mutex destroy (pthread mutex t * mutex); 

c. pthread mutex lock 1 7 Lock Mutex. All 4 Mutex 已 经 被 Lock, 该 函数 调用 
会 Block 直到 Mutex 被 Unlock. % Jš VA PR BWA Lock Mutex 并 返回 。 与 pthread_mutex_ 
trylock 类 似 , 只 是 当 Mutex 被 锁 死 的 时 候 不 会 被 阻塞 , 而 是 返回 一 个 错误 值 EBUSY, 
pthread mutex unlock 函数 则 是 unlock 一 个 mutex。 这 三 个 函数 原型 如 下 : 

int pthread mutex lock(pthread mutex t * mutex); 

int pthread mutex trylock(pthread mutex t * mutex); 

int pthread mutex unlock (pthread mutex t * mutex); 

© 读 写 锁 : Reader-Writer Locks. 

а. 多 个 线程 可 以 同时 获得 读 锁 , 但 是 只 有 一 个 线程 能 够 获得 写 锁 。 

b. 读 写 锁 有 如 下 三 种 状态 。 

a) 一 个 或 者 多 个 线程 获得 读 锁 ,其 他 线程 无 法 获得 写 锁 。 

b) 一 个 线程 获得 写 锁 , 其 他 线程 无 法 获得 读 锁 。 

c) 没有 线程 获得 此 读 写 锁 。 

с. AIJ pthread_rwlock_t。 

d. 创建 和 关闭 读 写 锁 的 方法 如 下 : 

int pthread zwlock init ( 

pthread rwlock t * restrict rwlock, 

const pthread_rwlockattr_t * restrict attr) 

int pthread rwlock destroy (pthread rwlock t * rwlock); 

e. 获得 读 写 锁 的 方法 如 下 : 

int pthread rwlock rdlock(pthread rwlock t * rwloc 

int pthread rwlock wrlock(pthread rwlock t * rwlock); 

int pthread rwlock unlock(pthread rwlock t * rwlock); 

int pthread rwlock tryrdlock(pthread rwlock t * rwlock); 

int pthread rwlock trywrlock(pthread rwlock t * rwlock); 

pthread rwlock rdlock; 获得 读 锁 。 

pthread_rwlock_wrlock: 获得 写 锁 。 

pthread_rwlock_unlock: 释放 锁 , 不 管 是 读 锁 还 是 写 锁 都 是 调用 此 函数 。 

注意 : 具体 实现 可 能 对 同时 获得 读 锁 的 线程 个 数 有 限制 ,所 以 在 调用 pthread_rwlock_ 
rdlock 的 时 候 需 要 检查 错误 值 , 而 另外 两 个 pthread_rwlock_wrlock 和 pthread_rwlock_ 
unlock 则 一 般 不 用 检查 。 

© Conditional Variable. 条 件 变量 

a. 条 件 必须 被 Mutex 保护 起 来 。 

b. 类 型 为 pthread_cond_t, 必 须 被 初始 化 为 PTHREAD_COND_INITIALIZER( 用 于 
静态 分 配 的 条 件 , 等 价 于 pthread_cond_init(… ,NULL)) 或 者 调用 pthread_cond_init。 


int pthread сопа init( 
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pthread cond t * restrict cond, 
const pthread condxattr t * restrict attr) 
int pthread cond destroy(pthread cond t * cond); 


c. pthread cond wait PK ZI RH F Eff AF RAE true), pthread. cond, timedwait 类 
似 , 只 是 当 等 待 超时 的 时 候 返 回 一 个 错误 值 ETIMEDOUT。 超 时 的 时 间 用 timespec 结构 
指定 。 此 外 ,两 个 函数 都 需要 传人 一 个 Mutex 用 于 保护 条 件 ,函数 如 下 : 


int pthread cond wait ( 

pthread cond t * restrict cond, 

pthread mutex t * restrict mutex); 

int pthread cond timedwait ( 

pthread cond t * restrict cond, 

pthread mutex t * restrict mitex, 

const struct timespec * restrict timeout); 


d. timespec 结构 定义 如 下 : 


struct timespec { 
time t tv sec; /* seconds * / 
long tv nsec; /* nanoseconds * / 


Hu 


注意 : timespec 的 时 间 是 绝对 时 间 而 非 相 对 时 间 , 因 此 需要 先 调 用 gettimeofday 函数 
获得 当前 时 间 , 再 转换 成 timespec 结构 ,加 上 偏 移 量 。 

e. 有 两 个 函数 用 于 通知 线程 条 件 被 满足 (二 true): 

int pthread cond signal (pthread cond t * cond); 

int pthread cond broadcast (pthread cond t * cond); 

两 者 的 区 别 是 前 者 会 唤醒 单个 线程 ,而 后 者 会 唤醒 多 个 线程 。 

3) Java 多 线程 

JVM 充分 利用 了 多 线程 技术 (Multiple Thread) , 它 至 少 创建 了 三 个 线程 : 执行 多 线 
fà .垃圾 回收 线程 和 用 于 即时 编译 执行 技术 JIT 的 编译 线程 。 

Java 通过 java. lang. Thread 类 来 实现 多 线程 (通过 Runnable 接口 实现 多 线程 ,只 是 一 
种 实现 方式 ,这 种 方式 还 是 需要 借助 java. lang. Thread 类 ,才能 启动 新 的 线程 ) 。 

2. Java Native Invocation 技术 

Java 语言 是 解释 型 语言 ,除非 采用 了 即时 编译 技术 ,通常 情况 下 JIT 最 终 编 译 后 的 程 
序 是 不 能 作为 机 器 代码 直接 执行 ,需要 Java 虚拟 机 的 解释 执行 。 通 过 Java 本 地 接口 (Java 
Native Interface,JNI) 技 术 ,把 计算 量 大 的 任务 转移 给 本 地 方法 ,可 以 提高 处 理 效 率 和 系统 
性 能 。 通 过 ЈМ 技术 架构 实现 C.C ++ 与 Java 应 用 的 双向 调用 。 

JN 技术 主要 用 法 如 下 : 

class Test { 

public native void func(); 
static { 


System. loadLibrary ("Test") ; 
} 


Public static void main(String[] args) { 


} 
} 


javac Test.java // 生 成 Test.class 


javah Test // 生 成 Test. 


在 Test. h 中 ,这 个 本 地 方法 声明 之 前 有 关键 词 JNIEXPORT ,接着 是 这 个 方法 的 返回 
值 与 关键 字 JNICALL, 然 后 是 这 个 方法 的 名 称 , 名 称 由 Java_ 前 级 与 Java 类 名 加 “_” 和 方法 
名 称 组 成 ,最 后 在 方法 的 参数 中 包括 JNIEnv * 与 jobject 参数 。 

JNIEnv 是 JNIEnv 接口 的 指针 ,通过 该 指针 才能 将 Java 应 用 中 要 访问 的 参数 或 对 象 传 
递 给 C 语言 段 的 应 用 。 其 中 jobject 是 当前 对 象 本 身 的 引用 ,相当 于 Java 应 用 中 的 this 
变量 。 

在 C 语 言 端 代码 主 文件 如 下 : 

#include< jni.h» 

#incluge "Test.h" 

JNIEXECRT void JNICALL Java Test func(UNIEnv * env, jobject obj) 

t 

} 

在 Linux 中 编译 成 . so 文件 ,语句 如 下 : 

gcc- shared- I$ JDK_HOME/include- I/usr/include * .c-o libtest.so 

将 lib +. so 文件 放 入 系统 变量 LD_LIBRARY_PATH: 

#setenv /* .so 目录 /:$ID LIBRARY PATH 

JVM 中 要 调用 以 上 库 函 数 ,必须 加 载 ,语句 如 下 : 

System. loadLibrary ("uvmoore") ; 

由 于 语言 环境 的 信息 交换 ,存在 数据 类 型 的 对 应 问题 。 语 言 间 数 据 类 型 的 互相 转换 的 
过 程 。 如 Java 应 用 中 调用 C 语言 的 方法 ,传递 了 一 个 int 整 型 ,JVM 根据 native 关键 词 转 
换 为 本 地 类 型 传递 给 本 地 应 用 。 具 体 参 见 JNI 基本 数据 类 型 与 本 地 数据 类 型 的 对 照 。 

3. 1/0 多 路 复 用 机 制 

D ИО 模型 

1/O 模型 主要 有 五 种 : 阻塞 I/O 模型 . 非 阻塞 I/O 模型 .1/O 复 用 (select 和 poll) 模 型 、 


信号 驱动 /OC(SIGIO) 模 型 和 异步 1/0 模型 。 
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(D 阻塞 I/O 模型 。 

进程 调用 recvfrom() 系 统 调用 直到 数据 到 达 且 复制 到 应 用 层 缓冲 区 或 是 出 错 才 返回 。 
常见 错误 有 系统 调用 被 信号 中 断 , 进 程 阻塞 的 时 间 是 指 从 调用 recvfrom() 开 始 到 它 返 回 的 
这 段 时 间 , 当 进程 返回 成 功 指示 时 ,应 用 进程 开始 处 理 数据 。 

(2) 非 阻塞 IO 模型 。 

当 请 求 的 L/O 操作 不 能 完成 时 ,进程 不 会 阻塞 ,会 返回 一 个 错误 。 如 前 三 次 调用 
recvfrom() 时 仍 无 数据 返回 ,内 核 返回 一 个 错误 。 第 四 次 调用 recvfrom() 时 ,数据 已 准备 
好 ,被 复制 到 应 用 缓冲 区 ,recvfrom() 返 回 成 功 指示 ,接着 处 理 数据 。 由 于 采用 轮 询 方 法 ,对 
CPU 负载 要 求 比较 高 。 

(3) 1/0 复 用 模型 。 

调用 select 或 poll ,在 这 两 个 系统 调用 中 的 某 一 个 上 阻塞 ,而 不 是 阻塞 于 真正 1/0 系统 
调用 。 阻 塞 于 select 调用 ,等 待 数 据 报 套 接口 可 读 。 当 select 返回 套 接口 可 读 条 件 时 ,调用 
recevfrom() 将 数据 报复 制 到 应 用 缓冲 区 中 。 

(4) 信号 驱动 О 模型 。 

启动 信号 驱动 1/O 调用 时 , 先 通过 系统 调用 sigaction 注册 一 个 信号 处 理 程序 。 此 系统 
调用 立即 返回 ,进程 继续 工作 , 它 是 非 阻 塞 的 。 当 数据 准备 好 被 读 时 ,就 为 该 进程 生成 一 个 
SIGIO 信号。 随即 在 信号 处 理 程序 中 调用 recvfrom() 来 读数 据 , 并 通知 主 循环 数据 已 准备 
好 被 处 理 中 。 也 可 以 通知 主 循环 ,让 它 来 读数 据 。 

(5) 异步 I/O 模型 。 

让 内 核 启动 操作 ,并 在 整个 操作 完成 后 (包括 将 数据 从 内 核 复 制 到 用 户 自己 的 缓冲 区 ) 
通知 用 户 。 

当 从 一 个 文件 描述 符 读 ,然后 写 到 另 一 个 文件 描述 符 , 可 以 在 下 列 形式 的 循环 中 使 用 阻 
塞 IO。 


while ( (n= read (SIDIN FILENO, buf, BUFSIZ) )> 0) 
if (write (STOT FIEND, bat, n) !=n) 
err _sys ("write error"); 

但 是 ,如 果 必 须 从 两 个 描述 符 读 , 那 么 就 可 能 长 时 间 阻 塞 在 一 个 描述 符 上 ,而 另 一 个 描 
述 符 虽然 有 很 多 数据 , 却 不 能 得 到 及 时 处 理 。 

2) 1/0 多 路 复 用 实例 

1/0 多 路 复 用 (IO Multiplexing) , 先 构 造 一 张 有 关 描 述 符 的 列表 ,然后 调用 一 个 函数 ， 
直到 这 些 描述 符 中 的 一 个 已 准备 好 进行 1/O 时 ,该 函数 才 返 回 。 在 返回 时 , 它 告诉 进程 哪 
些 描述 符 已 准备 好 可 以 进行 IJO。POSIX. 1 标准 定义 了 select 函数 和 pselect 函数 ,而 poll 
函数 则 是 对 该 基本 部 分 的 XSI 扩展 。 

(1) select PARK. 

select 函数 如 下 : 


dincludec sys/select.h» 


int select (int maxfdpl,fd set* restrict readfds,fd set * restrict writefds,fd set * restrict exceptfds, 
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struct timeval * restrict tvptr) ;Retums:count of ready descriptors,0 on timeout,- 1 on error 


最 后 一 个 参数 tvptr 指定 自愿 等 待 的 时 间 。 

tvptr 二 二 NULL, 永 久 等 待 。 当 所 指定 的 描述 符 中 的 一 个 已 经 准备 好 或 捕捉 到 一 个 信 
号 则 返回 。 如 果 捕 捉 到 一 个 信号 , 则 select 返回 一 1,errno 设置 为 EINTR. 

tvptr->tv_sec==0 && tvptr- 之 tv_usec 二 二 0, 完 全 不 等 待 。 这 是 得 到 多 个 描述 符 状 
态 而 不 阻塞 select 函数 的 轮 询 方法 。 

tvptr->tv_sec! —0 || tvptr->tv_usec! 一 0, 等 待 指定 的 秒 数 和 微 秒 数 。 当 指定 的 描 
述 符 之 一 已 准备 好 ,或 当 指定 的 时 间 值 已 经 超时 ,或 捕捉 到 信号 时 ,函数 返回 。 在 Linux F. 
若 在 该 时 间 值 尚未 超过 时 select 就 返回 ,那么 将 用 余 留 时 间 更 新 сурог 指向 的 结构 。 

中 间 三 个 参数 readfds ,writefds 和 exceptfds 是 指向 描述 符 集 的 指针 。 这 三 个 描述 符 
集 说 明了 相关 的 可 读 、 可 写 或 出 现 异 常 条 件 的 各 个 描述 符 。 每 个 描述 符 集 存放 在 一 个 fd_ 
set 数据 类 型 中 。 这 种 数据 类 型 为 每 一 可 能 的 描述 符 保持 一 位 。 描 述 符 集 的 函数 接口 (可 能 
实现 为 宏 ) 包 括 : 调用 FD_ZERO 将 一 个 指定 的 fd_set 变量 的 所 有 位 设置 为 0; 调 用 FD_ 
SET 设置 一 个 fd_set 变量 的 指定 位 ;调用 FD_CLR 将 一 指定 位 清除 ;调用 FD_ISSET 测试 
一 指定 位 是 否 设置 。 描 述 符 集 的 函数 接口 如 下 : 


#include< sys/select.h» 

int FD_ISSET (int fd,fd set* fdset); 
Returns:nonzero if fd is in set,0 otherwise 

void FD CIR(int fd,fd set * fdset) ; 

void FD SET (int fd,fd set * fdset) ; 

void FD ZERO(fd_set * fdset) ; 


select 函数 的 第 一 个 参数 maxfdpl 的 意思 是 最 大 描述 符 加 1, 即 在 三 个 描述 符 集中 找 出 
最 大 描述 符 编号 值 ,然后 加 1。 

select 函数 有 三 个 可 能 的 返回 值 。 

QD 返回 值 一 1 表示 出 错 ,如 捕捉 到 一 个 信和 号。 在 这 种 情况 下 ,将 不 修改 其 中 任何 描述 

@ 返回 值 0 表示 没有 描述 符 准备 好 。 

© 正 返 回 值 表示 已 经 准备 好 的 描述 符 数 , 该 值 是 三 个 描述 符 集中 已 经 准备 好 的 描述 符 
数 之 和 。 

对 于 准备 好 的 意思 是 ,对 读 写 集中 的 一 个 描述 符 的 read 或 write 操作 不 会 阻塞, 对 异常 
状态 集中 的 一 个 描述 符 有 一 个 未 决 异常 状态 (包括 在 网 络 连接 上 到 达 的 带 外 数据 @ 在 处 
于 数据 包 模式 的 伪 终端 上 发 生 了 某 些 状态 ) 。 如 果 在 一 个 描述 符 上 碰 到 了 文件 结尾 处 , 则 
select 认为 该 描述 符 是 可 读 的 ,因为 调用 read 将 返回 0。 

timeval 结构 如 下 : 


struct timeval { 
long tv_sec; //second 
long tv usec; //minisecond 
} 
timeout 设置 情况 如 下 。 
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Ф null: select 将 一 直 被 阻塞 ,直到 某 个 文件 描述 符 上 发 生 了 事件 。 

© о: 仅 检 测 描述 符 集合 的 状态 ,然后 立即 返回 ,并 不 等 待 外 部 事件 的 发 生 。 

© 特定 的 时 间 值 : 如 果 在 指定 的 时 间 段 里 没有 事件 发 生 , select 将 超时 返回 。 文件 描 
述 符 集 fdset 中 的 文件 描述 符 的 个 数 是 有 限制 的 ,最 大 值 由 FD_SETSIZE 指定 ,在 Linux 中 
为 1024, 

(2) pselect В. 

pselect PACU Т: 


#include< sys/select .> 


int pselect (int maxfdpl, fd set х restrict readfds, fd set * restrict writefds, fd set * restrict 

exceptfds, const struct timespec * restrict tsptr,omst sigset t * restrict sigmask); 

Returns: count of ready descriptors, 0 on timeout,- 1 cn error 

ES select 函数 的 区 别 如 下 。 

QD pselect 使 用 timespec 结构 指定 超时 值 。timespec 结构 以 秒 和 纳 秒表 示 时 间 , 而 非 
秒 和 微 秒 。 

@ pselect 的 超时 值 被 声明 为 const, 这 保证 了 调用 pselect 不 会 改变 timespec 结构 。 

® pselect 可 使 用 一 个 可 选择 的 信号 屏蔽 字 。 在 调用 pselect 时 ,以 原子 操作 的 方式 安 
装 该 信号 屏蔽 字 ,在 返回 时 恢复 以 前 的 信号 屏蔽 字 。 

(3) poll 函数 。 

poll 函数 提供 的 功能 与 select 函数 类 似 , 不 过 在 处 理 流 设备 时 , 它 能 够 提供 额外 的 信 
A. poll 函数 起 源 于 SVR3 ,最 初 局 限于 流 设 备 。SVR4 取消 了 这 种 限制 ,允许 poll 函数 工 
作 在 任何 描述 字 上 。 

poll 函数 如 下 : 


#include « poll.h» 


int poll(struct pollfd fdarray[], nfds t nfds, int timeout); 
Returns: count of ready descriptors, 0 on timeout, 1 on error 


struct pollfd ( 
int fd; /* file descriptor to check, or< 0 to ignore * / 
short events; /* events of interest cn fd * / 
short revents; /* events that occurred on fd * / 


y 

与 select 函数 不 同 ,poll 函数 不 是 为 每 个 状态 构造 一 个 描述 符 集 ,而 是 构造 一 个 pollfd 
结构 数组 ,每 个 数组 元 素 指定 一 个 描述 符 编 号 以 及 对 其 所 关心 的 状态 。pollfd 结构 中 的 
events 告诉 内 核 我 们 对 该 描述 符 关心 的 是 什么 。poll 函数 返回 时 ,内 核 设置 revents 成 员 ， 
以 说 明 对 该 描述 符 已 经 发 生 了 什么 事件 。fdarray 数组 中 的 元 素数 由 nfds 说 明 。 

poll 函数 可 用 的 测试 值 如 表 17-2 所 示 。 

R 17-2. poll 函数 可 用 的 测试 值 
常 量 说 明 党 量 说 明 


POLLIN 普通 或 优先 级 带 数 据 可 读 | POLLWRNORM | 普通 数据 可 写 
POLLRDNORM 普通 数据 可 读 POLLWRBAND | 优先 级 带 数 据 可 写 
POLLRDBAND 优先 级 带 数 据 可 读 POLLERR 发 生 错 误 

POLLPRI 高 优先 级 数据 可 读 POLLHUP 发 生 挂 起 

POLLOUT 普通 数据 可 写 POLLNVAL 描述 字 不 是 一 个 打开 的 文件 


注意 : 后 三 个 只 能 作为 描述 字 的 返回 结果 存储 在 revents 中 ,而 不 能 作为 测试 条 件 用 于 
events 中 。 最 后 一 个 参数 timeout 是 指定 poll 函数 返回 前 等 待 多 长 时 间 , 它 的 取 值 如 表 17-3 
所 示 。 


表 17-3 timeout 的 取 值 及 说 明 


timeout {fi 说 明 timeout {fi 说 明 
INFTIM 永远 等 待 >0 等 待 指定 数目 的 毫秒 数 
0 立即 返回 ,不 阻塞 进程 
(4) epoll 函数 。 


еро 函数 是 Linux 下 多 路 复 用 L/O 接口 select/poll 的 增强 版 本 , 它 能 显著 减少 程序 在 
大 量 并 发 连接 中 只 有 少量 活跃 的 情况 下 的 系统 CPU 利用 率 , 因 为 它 不 会 复 用 文件 描述 符 
集合 来 传递 结果 而 迫使 开发 者 每 次 等 待 事件 之 前 都 必须 重新 准备 要 被 侦 听 的 文件 描述 符 集 
合 , 男 一 个 原因 就 是 获取 事件 的 时 候 , 它 无 须 遍 历 整 个 被 侦 听 的 描述 符 集 ,只 要 遍历 那些 被 
内 核 1/O 事件 异步 唤醒 而 加 入 Ready 队列 的 描述 符 集合 就 行 了 。epoll 除了 提供 select/ 
poll Jf I/O 事件 的 水 平 触发 (Level Triggered) 外 ,还 提供 了 边沿 触发 (Edge Triggered), 
这 就 使 得 用 户 空 间 程序 有 可 能 缓存 1/0 状态 ,减少 epoll_wait/epoll_pwait 的 调用 ,提高 应 
用 程序 效率 。 

epoll 的 接口 非常 简单 ,一 共有 三 个 函数 。 

(D 第 一 个 函数 epoll_create 如 下 : 


int epoll_create (int size); 


该 函数 创建 一 个 epoll 的 句柄 ,size 用 来 告诉 内 核 这 个 监听 的 数目 一 共有 多 少 。 这 个 参 
数 不 同 于 select 函数 中 的 第 一 个 参数 ,给 出 最 大 监听 的 fd 十 1 的 值 。 需 要 注意 的 是 , 当 创建 
好 epoll 句柄 后 , 它 就 会 占用 一 个 fd 值 ,在 Linux 下 如 果 查 看 /proc/ 进 程 id/fd/ ,能 看 到 这 个 
fd, 所 以 在 使 用 完 epoll 后 ,必须 调用 close 关闭 ,否则 可 能 导致 fd 被 耗 尽 。 

© 第 二 个 函数 epoll_ctl 如 下 : 


int epoll ctl (int epfd, int op, int fd,struct epoll event event); 


该 函数 是 еро 的 事件 注册 函数 , 它 不 同 于 select 函数 ,是 在 监听 事件 时 告诉 内 核 要 监 
听 什 么 类 型 的 事件 ,而 是 在 这 里 先 注册 要 监听 的 事件 类 型 。 
第 一 个 参数 是 epoll_create 函数 的 返回 值 。 
第 二 个 参数 表示 动作 ,用 三 个 宏 来 表示 ,如 表 17-4 所 示 。 
"a0 


表 17-4 宏 及 说 明 


4 说 明 
EPOLL_CTL_ADD 注册 新 的 fd 到 epfd 中 
EPOLL_CTL_MOD 修改 已 经 注册 的 fd 的 监听 事件 
EPOLL_CTL_DEL 从 epfd 中 删除 一 个 fd 


第 三 个 参数 是 需要 监听 的 fd。 
第 四 个 参数 是 告诉 内 核 需要 监听 什么 事件 。 
epoll event 的 结构 如 下 : 


struct epoll event { 
_ uint32 t events; /* Epoll events * / 
epoll data t data; /* User data variable * / 
B 
events 可 以 是 几 个 常量 的 集合 ,如 表 17-5 所 示 o 


表 17-5 常量 及 说 明 


W t 说 明 
EPOLLIN 对 应 的 文件 描述 符 可 以 读 ( 包 括 对 端 Socket 正常 关闭 ) 
EPOLLOUT 对 应 的 文件 描述 符 可 以 写 
EPOLLPRI 对 应 的 文件 描述 符 有 重要 优先 级 的 数据 可 读 (这 里 应 该 表示 有 外 数据 到 来 ) 
EPOLLERR 对 应 的 文件 描述 符 发 生 错 误 
EPOLLHUP 对 应 的 文件 描述 符 被 挂 起 
EPOLLET 将 EPOLL 设 为 边缘 触发 (Edge Triggered) 模 式 
EPOLLLT 将 EPOLL 设 为 水 平 触发 (Level Triggered) Hist 


© 第 三 个 函数 epoll_wait 如 下 : 
int еро wait (int epfd,struct epoll event * events, int maxevents, int timeout); 


等 待 事件 的 产生 ,类 似 于 select 函数 调用 。 参 数 events 用 来 从 内 核 得 到 事件 的 集合 ， 
maxevents 告 之 内 核 这 个 events 有 多 大 ,这 个 maxevents 的 值 不 能 大 于 创建 epoll create PR 
数 时 的 size, 参 数 timeout 是 超时 时 间 ( 毫 秒 ,0 会 立即 返回 ,一 1 将 不 确定 ,也 有 说 法 是 永久 
阻塞 )。 该 函数 返回 需要 处 理 的 事件 数目 ,如 返回 0 表示 已 超时 。 

3) epoll 机 制 

(1) epoll 简介 。 

еро 机 制 是 Linux 2. 6 内 核 引 入 的 1/0 多 路 复 用 的 一 种 方式 ,用 于 提高 网 络 IO 性 
能 ,主要 是 模拟 ATO 模式 (异步 1/0). 

epoll 机 制 主要 是 解决 select 函数 效率 的 问题 。 在 Linux 网 络 编程 中 ,很 长 一 段 时 间 都 

* 141 ° 


是 采用 select 函数 来 实现 多 事件 触发 处 理 的 。select 函数 存在 如 下 几 个 方面 的 问题 。 

© 每 次 调用 时 要 从 用 户 态 重 复读 入 参数 。 

@ 每 次 调用 时 要 重复 地 扫描 文件 描述 符 。 

@ 每 次 调用 开始 时 ,要 把 当前 进程 放 人 各 个 文件 描述 符 的 等 待 队列 。 调 用 结束 后 ,又 
把 进程 从 各 个 等 待 队 列 中 删除 。 

select 采用 轮 询 的 方式 来 处 理事 件 触发 , 当 随 着 监听 Socket 的 文件 描述 符 fd 的 数量 增 
加 时 , 轮 询 的 时 间 也 就 越 长 ,造成 效率 低下 。 并 且 在 linux/posix types. h 中 定义 了 fd 最 大 
数目 是 1024(# define __FD_SETSIZE 1024), 

采用 epoll 机 制 的 优势 是 支持 一 个 进程 打开 大 数目 的 Socket 描述 符 (fd) ,不 随 监听 的 
fd 数目 的 增长 而 降低 效率 ,使 用 ттар 加 速 内 核 与 用 户 空间 的 消息 传递 。 

mmap 机 制 是 Linux 操作 系统 提供 的 内 核 数据 映射 功能 ,能 把 内 核 态 的 数据 直接 映射 
到 用 户 态 。 网 络 处 理 中 需要 把 数据 包 从 内 核 态 复制 到 用 户 态 再 进行 处 理 。mmap 机 制 使 用 
户 态 程序 可 以 直接 访问 这 些 内 核 态 数据 ,而 不 需要 再 复制 一 次 ,从 而 节省 了 开销 。 

(2) epoll 工作 模式 。 

epoll 机 制 有 两 种 : ET(Edge Triggered) fil LT 模式 (Level Triggered), ET 是 高 速 模 
式 , 只 能 以 非 阻塞 方式 进行 ,LT 相当 于 快速 的 select, 有 阻塞 和 非 阻 塞 两 种 方式 ,epoll 通过 
把 操作 拆 分 为 epoll_create、epoll_ctl、epoll_wait 三 个 步骤 避免 重复 地 遍历 要 监视 的 文件 描 
述 符 。 

man 手册 中 给 出 了 epoll 使 用 的 一 个 例子 。 

CD 把 一 个 用 来 从 管道 中 读 取 数 据 的 文件 句柄 (RFD) 添 加 到 epoll 描述 符 。 

© 这 时 从 管道 的 另 一 端 写 人 2KB 的 数据 。 

© 调用 epoll_wait(2) ,并 且 它 会 返回 RFD, 说 明 它 已 经 准备 好 读 取 操作 。 

@ 读 取 1KB 的 数据 。 

® 调用 epoll_wait(2)。 

(3) Edge Triggered 工作 模式 。 

如 果 在 第 中 步 将 RED 添加 到 epoll 描述 符 的 时 候 使 用 了 EPOLLET 标志 ,那么 在 第 
加 步调 用 epoll_wait(2) 之 后 将 有 可 能 会 挂 起 ,因为 剩余 的 数据 还 存在 于 文件 的 输入 缓冲 区 
内 ,而 且 数 据 发 出 端 还 在 等 待 一 个 针对 已 经 发 出 数据 的 反馈 信息 。 只 有 在 监视 的 文件 句柄 
上 发 生 了 某 个 事件 的 时 候 ET 工作 模式 才 会 汇报 事件 。 因 此 在 第 @ 步 的 时 候 , 调 用 者 可 能 
会 放弃 等 待 仍 存 在 于 文件 输入 缓冲 区 内 的 剩余 数据 。 在 上 面 的 例子 中 ,会 有 一 个 事件 产生 
在 RFD 句柄 上 ,因为 在 第 @ 步 执行 了 一 个 写 操作 ,然后 ,事件 将 会 在 第 加 步 被 销毁 。 因 为 第 
@ 步 的 读 取 操 作 没 有 读 空 文件 输入 缓冲 区 内 的 数据 ,因此 在 第 @ 步 调用 epoll_wait(2) 完 成 
后 ,是 否 挂 起 是 不 确定 的 。epoll 工作 在 ET 模式 的 时 候 , 必 须 使 用 非 阻塞 套 接口 ,以 避免 由 
于 一 个 文件 句柄 的 阻塞 读 / 阻 塞 写 操作 把 处 理 多 个 文件 描述 符 的 任务 遏 死 。 最 好 以 下 面 的 
方式 调用 ET 模式 的 epoll 接口 ,在 后 面 会 介绍 避免 可 能 的 缺陷 。 

(D 基于 非 阻塞 文件 句柄 。 

© 只 有 当 read(2) 或 者 write(2) 返 回 EAGAIN 时 才 需 要 挂 起 ,等 待 。 但 这 并 不 是 说 每 
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次 read() 时 都 需要 循环 读 , 直 到 读 到 产生 一 个 EAGAIN 才 认 为 此 次 事件 处 理 完 成 , 当 
read() 返 回 读 到 的 数据 长 度 小 于 请 求 的 数据 长 度 时 ,就 可 以 确定 此 时 缓冲 中 已 没有 数据 了 ， 
也 就 可 以 认为 此 事 读 事件 已 处 理 完 成 。 

(4) Level Triggered 工作 模式 。 

相反 地 ,以 LT 方式 调用 epoll 接口 时 , 它 就 相当 于 一 个 速度 比较 快 的 poll/select. 在 
poll 能 用 的 地 方 epoll 都 可 以 用 ,因为 它们 具有 同样 的 职能 。 即 使 使 用 ET 模式 的 epoll, 在 
收 到 多 个 数据 包 的 时 候 仍然 会 产生 多 个 事件 。 调 用 者 可 以 设 定 EPOLLONESHOT 标志 ， 
在 epoll wait 收 到 事件 后 ,epoll 会 与 事件 关联 的 文件 句柄 从 epoll 描述 符 中 禁止 掉 。 因 此 
当 EPOLLONESHOT 设 定 后 ,使 用 带 有 EPOLL_CTL_MOD 标志 的 epoll ctl 处 理 文件 句 
柄 就 成 为 调用 者 必须 做 的 事情 。 

以 上 是 man 手册 对 epoll 中 两 种 模式 的 简要 介绍 ,这 里 有 必要 对 两 种 模式 进行 详细 
介绍 。 

LT 是 默认 的 工作 方式 ,并 且 同 时 支持 block 和 no-block Socket, 在 这 种 做 法 中 ,内 核 会 
告诉 调用 者 一 个 文件 描述 符 是 否 就 结 了 ,然后 调用 者 可 以 对 这 个 就 绪 的 fd 进行 1/O 操作 。 
如 果 不 做 任何 操作 ,内 核 还 会 继续 通知 调用 者 ,所 以 ,这 种 模式 编程 出 错误 可 能 性 要 小 一 点 。 
传统 的 select/poll 都 是 这 种 模型 的 代表 。LT 模式 跟 select 有 一 样 的 语义 ,如 果 可 读 就 触 
发 。 例 如 , 某 管道 原来 为 空 , 如 果 有 一 个 进程 写 和 人 2KB 数据 ,就 会 触发 。 如 果 处 理 进程 读 取 
1KB 数据 ,下 次 轮 询 时 继续 触发 。 该 模式 下 ,默认 不 可 读 , 只 有 epoll 通知 可 读 才 是 可 读 , 和 否 
则 不 可 读 。 

ET 是 高 速 工 作 方式 ,只 支持 no-block Socket。 在 这 种 模式 下 , 当 描 述 符 从 未 就 绪 变 为 
就 绪 时 ,内核 通过 epoll 告诉 调用 者 ,然后 它 会 假设 调用 者 知道 文件 描述 符 已 经 就 绪 , 并 且 
不 会 再 为 那个 文件 描述 符 发 送 更 多 的 就 绪 通 知 ,直到 调用 者 做 了 某 些 操 作 导 致 那个 文件 描 
述 符 不 再 为 就 绪 状 态 了 。 但 是 请 注意 ,如 果 一 直 不 对 这 个 fd 做 1⁄O 操作 (从 而 导致 它 再 次 
变 成 未 就 绪 ) ,内 核 不 会 发 送 更 多 的 通知 。 该 模式 与 select 有 不 同 的 语义 ,只 有 当 从 不 可 读 
变 为 可 读 时 才 触 发 。 上 面 那 种 情况 ,还 有 1KB 可 读 , 所 以 不 会 触发 , 当 继续 读 , 直 到 返回 
EAGAIN 时 , 变 为 不 可 读 , 如 果 再 次 变 为 可 读 就 触发 。 默 认可 读 , 调 用 者 可 以 随便 读 ,直到 
RÆ EAGAIN。 可 读 时 读 和 不 读 ,怎么 读 都 由 调用 者 自己 决定 ,中 间 epoll 不 管 。EAGAIN 
后 不 可 读 了 ,等 到 再 次 可 读 ,epoll 会 再 通知 一 次 。 理 解 ET 模式 最 重要 的 就 是 理解 状态 的 
变化 ,对 于 监听 可 读 事 件 时 ,如 果 Socket 是 监听 Socket, 那 么 当 有 新 的 主动 连接 到 来 为 状态 
发 生变 化 ;对 一 般 的 Socket 而 言 ,协议 栈 中 相应 的 缓冲 区 有 新 的 数据 为 状态 发 生变 化 。 但 
是 ,如 果 在 一 个 时 间 同 时 接受 了 N 个 连接 (N 二 1) ,但 是 监听 Socket 只 接受 了 一 个 连接 , 那 
么 其 他 未 accept 的 连接 将 不 会 在 ET 模式 下 给 监听 Socket 发 出 通知 ,此 时 状态 不 发 生变 
化 ;对 于 一 般 的 Socket, 如 果 对 应 的 缓冲 区 本 身 已 经 有 了 N 字 节 的 数据 ,而 只 取出 了 小 于 М 
字 节 的 数据 ,那么 残存 的 数据 不 会 造成 状态 发 生变 化 。 

(5) epoll 的 调用 。 

epoll 的 调用 比较 简单 ,只 涉及 三 个 函数 。 

(D int epoll_create(int size); 

创建 一 个 epoll 的 句柄 ,size 用 来 告诉 内 核 这 个 监听 的 数目 最 大 值 。 这 个 参数 不 同 于 
select() 中 的 第 一 个 参数 ,给 出 最 大 监听 的 fd 十 1 的 值 。 需 要 注意 的 是 , 当 创 建 好 epoll 句柄 
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后 , 它 就 是 会 占用 一 个 fd 值 ,所 以 在 使 用 完 epoll 后 ,必须 调用 close() 关 闭 ,否则 可 能 导致 
fd 被 耗 尽 。 

© int epoll ctlCint epfd.int op ,int fd.struct epoll_event * event); 

该 函数 是 epoll 的 事件 注册 函数 , 它 不 同 于 select() 是 在 监听 事件 时 告诉 内 核 要 监听 什 
么 类 型 的 事件 ,而 是 在 这 里 先 注册 要 监听 的 事件 类 型 。 

第 一 个 参数 是 epoll_create() 的 返回 值 。 

第 二 个 参数 表示 动作 ,用 三 个 宏 来 表示 。 

a. EPOLL_CTL_ADD: 注册 新 的 fd 到 epfd rf, 

b. EPOLL_CTL_MOD: 修改 已 经 注册 的 fd 的 监听 事件 。 

c. EPOLL СТІ, DEL: 从 epfd 中 删除 一 个 fd. 

第 三 个 参数 是 需要 监听 的 fd。 

第 四 个 参数 是 告诉 内 核 需 要 监听 什么 事 ,数据 结构 如 下 : 


typedef union epoll data{ 
void * ptr; 

int fd; 

_ _uint32 t 032; 

_ uinté4 t u64 

Jepoll data t; 


struct epoll event ( 

_ uint32 t events; /* Бро events * / 

еро data t data; /* User data variable * / 

Hu 

events 可 以 是 以 下 几 个 宏 的 集合 。 

a. EPOLLIN : 表示 对 应 的 文件 描述 符 可 以 读 ( 包 括 对 端 Socket 正常 关闭 ) 。 

b. EPOLLOUT:; 表示 对 应 的 文件 描述 符 可 以 写 。 

c. EPOLLPRI; 表示 对 应 的 文件 描述 符 有 紧急 的 数据 可 读 ( 这 里 应 该 表示 有 带 外 数据 
到 来 ) 。 

d. EPOLLERR: 表示 对 应 的 文件 描述 符 发 生 错误 。 

e. EPOLLHUP: 表示 对 应 的 文件 描述 符 被 挂 起 。 

[. EPOLLET: 将 EPOLL 设 为 边缘 触发 模式 ,这 是 相对 于 水 平 触发 来 说 的 。 

g. EPOLLONESHOT: 只 监听 一 次 事件 , 当 监 听 完 这 次 事件 之 后 ,就 会 把 这 个 fd 从 
epoll 的 队列 中 删除 。 如 果 还 需要 继续 监听 这 个 Socket ,需要 再 次 把 这 个 fd 加 入 到 epoll [A 
列 中 。 

@ int epoll_wait(int epfd.struct epoll_event * events ,int maxevents,int timeout) ; 

等 待 事件 的 产生 ,类 似 于 select С) 09 1. BR events 用 来 从 内 核 得 到 事件 的 集合 ， 
maxevents 告诉 内 核 这 个 events 有 多 大 ,这 个 maxevents 的 值 不 能 大 于 创建 epoll_create() 
时 的 size. BAX timeout 是 超时 时 间 ( 毫 秒 ,0 会 立即 返回 ,一 1 是 永久 阻塞 )。 该 函数 返回 需 
要 处 理 的 事件 数目 ,如 返回 0 表示 已 超时 。 

(6) epoll 的 优点 。 
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Ф 支持 一 个 进程 打开 大 数目 的 Socket 描述 符 。 

select 的 最 大 问题 是 一 个 进程 所 打开 的 描述 符 是 有 一 定 限制 的 ,由 FD_SETSIZE 设置 ， 
默认 值 是 2048。 对 于 那些 需要 支持 的 上 万 连接 数目 的 IM 服务 器 来 说 显然 太 少 了 。 解 决 方 
法 : 修改 这 个 宏 然后 重新 编译 内 核 , 不 过 这 样 会 带 来 网 络 效率 的 下 降 ; 选 择 多 进程 的 解决 方 
案 ( 传 统 的 Apache 方案 ) ,虽然 Linux 上 面 创建 进程 的 代价 比较 小 ,但 依旧 不 可 忽视 ,加 上 
进程 间 数 据 同 步 远 比 不 上 线程 间 同 步 的 高 效 , 所 以 也 不 是 一 种 完美 的 方案 。 

epoll 则 没有 这 个 限制 , 它 所 支持 的 FD 上 限 是 最 大 可 以 打开 文件 的 数目 ,这 个 数字 一 
般 远 大 于 2048。 举 个 例子 ,在 1GB 内 存 的 机 器 上 是 10 万 左右 ,具体 数目 可 以 在 cat /proc/ 
sys/fs/file-max 中 查看 ,一般 来 说 这 个 数目 和 系统 内 存 关 系 很 大 。 

© 1/0 效率 不 随 fd 数 目 增加 而 线性 下 降 。 

传统 的 select/poll 的 另 一 个 问题 就 是 当 要 处 理 一 个 很 大 的 Socket 集合 时 ,由 于 网 络 延 
时 , 任 一 时 间 只 有 部 分 的 Socket 是 活跃 的 ,但 是 select/poll 每 次 调用 都 会 线性 扫描 全 部 的 
集合 ,导致 效率 呈现 线性 下 降 。 

epoll 不 存在 这 个 问题 , 它 只 会 对 活跃 的 socket 进行 操作 一 一 这 是 因为 在 内 核实 现 中 
epoll 是 根据 每 个 fd 上 面 的 callback 函数 实现 的 。 那 么 ,只 有 活跃 的 Socket 才 会 主动 去 调 
用 callback 函数 ,其 他 idle 状态 Socket 则 不 会 ,在 这 点 上 ,epoll 实现 了 一 个 伪 AIO。 在 一 
些 benchmark 测试 中 ,如 果 所 有 的 Socket 基本 上 都 是 活跃 的 ,例如 一 个 高 速 LAN 环境 
epoll 并 不 比 select/poll 有 什么 效率 ,相反 ,如 果 过 多 使 用 epoll_ctl, 效 率 相 比 还 有 稍微 的 下 
降 。 但 是 一 旦 使 用 idle connections 模拟 WAN 环境 ,epoll 的 效率 就 远 在 select/poll 之 上 。 

@ fii mmap 加 速 内 核 与 用 户 空间 的 消息 传递 。 

这 点 实际 上 涉及 epoll 的 具体 实现 。 无 论 是 select、poll, 还 是 epoll, 都 需要 内 核 把 fd 消 
息 通知 给 用 户 空间 ,如 何 避 免 不 必 要 的 内 存 复 制 就 很 重要 ,在 这 点 上 ,epoll 是 通过 内 核 与 用 
户 空间 mmap 在 同一 块 内 存 实 现 的 。 

@ 内 核 微调 。 

这 一 点 其 实 不 算 epoll 的 优点 ,而 是 整个 Linux 平台 的 优点 。 例 如 ,内 核 TCP/IP 协议 
栈 使 用 内 存 池 管 理 sk_buff 结构 ,那么 可 以 在 运行 时 期 动态 调整 这 个 内 存 pool (skb_head_ 
pool) 的 大 小 通过 echo X>/proc/sys/net/core/hot_list_length 完成 ,其 中 X 为 要 设 定 
的 链表 长 度 。 再 如 listen 函数 的 第 2 个 参数 (TCP 完成 3 次 握手 的 数据 包 队 列 长 度 ) ,也 可 
以 根据 平台 内 存 大 小 动态 调整 。 甚 至 在 数据 包 数 目 巨 大 但 同时 每 个 数据 包 本 身 很 小 的 特殊 
系统 上 ,采用 NAPI 网 卡 驱动 架构 可 进一步 提升 性 能 。 


17.5.2 Linux OS 级 网 流 处 理 


Linux OS 级 的 网 流 处 理 主要 由 C 语言 的 6 个 库 libnetcap libmvutil, libvector 和 
jnetcap、jmvutil、jvector, 最 后 编译 为 动态 链接 库 libuvmcore. so( 详 见 \src\ buildtools N 
untangle-core. rb 文件 ) 。 

libmvutil 将 会 话 事件 封装 为 自 定义 的 mailbox 结构 。 

libnetcap 通过 socket 接口 从 网 卡 读 取 网 包 。 

libvector 根据 mailbox 的 事件 ,通知 注册 到 处 理 流程 的 观察 者 ( 即 各 安全 应 用 模块 ) ,由 
每 个 观察 者 依次 对 会 话 进行 处 理 。 
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libmvutil 引入 epoll 机 制 。 
Untangle VM 对 网 包 的 处 理 流程 中 需要 在 ТУМ 中 调用 以 上 库 函 数 ,必须 加 载 : 


System. loadLibrary ("uvmcore") ; 


\untangle\src\libnetcap\include\libnetcap. h 

定义 了 主要 的 TCP 和 UDP 协议 处 理 函 数 , 以 hook 方式 传人 。 
typedef void(* netcap tgp hook t)  (netcap session t* {ср sess, void* arg); 
typedef void(* netcap udp hook t)  (netcap session t* netcap sess, void* arg); 
主要 核心 文件 如 下 : 

\untangle\src\libnetcap\src\netcap_hook. с 
\untangle\src\libnetcap\sre\netcap_ udp. с 
\untangle\src\libnetcap\sre\netcap_ tcp. с 
\untangle\sre\libnetcap\sre\netcap_tcp_cli. c 
NuntangleVsreMibnetcapNsreNnetcap, tcp. srv. complete. с 
\untangle\src\libnetcap\src\netcap_sched. c 


untangle\src\jnetcap\sre\jnetcap. с 
17.5.3 Java JVM 级 网 流 处 理 


对 每 个 NewSessionRequest 的 处 理 ,Untangle 需要 同时 与 Client 和 Server 建立 sock， 
每 个 session 的 建立 需要 ClientComplete() 和 ServerComplete() 同 时 完成 ,否则 是 half 的 连 
接 。 这 样 ,通过 UTM 的 会 话 ,session 被 拆 分 为 源 端 (src) 到 UTM 和 UTM 到 目的 端 (sink) 
两 个 会 话 , 拆 分 过 程 对 于 原 会 话 双方 是 透明 的 ;这 对 TCP 不 是 问题 ,但 是 对 UDP 可 能 会 出 
现 问题 。 

其 中 Netcap. java 定义 了 Netcap 类 ,初始 化 网 络 流 的 各 项 处 理 。Netcap 类 采用 JNI 
(Java Native Interface ), 可 以 直接 调用 libnetcap, libmvutil, libvector 库 函 数 。 底 层 
libnetcap 采用 pthread 多 线程 。 详 见 jnetcap. c 文件 。 

主要 核心 文件 如 下 : 

\untangle\sre\jnetcap\impl\com\untangle\jnetcap\Netcap. java 

Untangle 系统 是 基于 流 session 处 理 的 。 每 个 sessionImpl 都 有 ArgonAgent, ArgonAgent 
是 Node 的 一 个 抽象 。 

主要 核心 文件 如 下 : 

\untangle\srce\jnetcap\impl\com\ untangle\jnetcap\NetcapSession. java 

\untangle\sre\uvm-lib\impl\com\untangle\uvm\argon\SessionGlobalState. java 

\untangle\sre\uvm-lib\impl\com\untangle\uvm\argon\NetcapTCPSession. java 

\untangle\sre\uvm-lib\imp!\com\untangle\uvm\argon\ Session. java 

\untangle\src\uvm-lib\impl\com\untangle\uvm\argon\SessionImpl. java 

\untangle\src\uvm-lib\impl\com\untangle\uvm\argon\ArgonHook. java 

\untangle\\src\uvm-lib\impl\com\untangle\uvm\argon\ArgonAgent. java 

\untangle\src\uvm-lib\impl\com\untangle\uvm\argon\ArgonAgentImpl. java 
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\untangle\src\uvm-lib\impl\com\untangle\uvm\argon\TCPHook. java 

\untangle\src\uvm-lib\impl\com\untangle\uvm\argon\ Argon. java 

采用 java. util. concurrent 包 和 java. nio 包 ,可 以 以 多 线程 的 方式 加 快 对 Socket 连接 的 
处 理 。 

采用 Key 与 Hash Map 的 数据 结构 及 实现 方法 ,可 以 加 快 连接 维护 的 速度 ,便于 维持 
大 量 的 激活 并 发 连接 。 


17.5.4 Untangle JVM 多 线程 
核心 类 


\src\uvm-lib\imp!\com\untangle\uvm\engine\UvmContextImpl. java 


public class UvmContextImpl extends UvmContextBase 
implements LocalUwmContext 


public Thread newThread (final Runnable runnable) 
t 
retum newIhread (runnable, "UTThread- "+ ThreadNunber .nextThreadNun() ) ; 


) 


每 个 Node 都 有 一 个 UvmContextImpl 的 类 ,因此 对 应 有 一 个 线程 在 运行 。 下 面 给 出 
了 其 中 运行 的 启动 线程 的 代码 。 


uvm lib\localapi\comNuntangle\nodeN\virus\VirusScannerLauncher.java(30) : 
clam baseN\ijmpl\comNuntangle\nodeNclamNClamsScannerclientLauncher.java(79) : 
cpenvpnN inpl\com\ intangle\node\ openvpn\ ApenVpnCaretaker .java (92) : 
Qpenypn\ imp] \cam\ untangle\node\ openvpn\ QpenVpnMoni tor. java (252) : 
cpenvpnN imp] \cam\ untangle\ node \ qpenvpn\ VpnNodeInp! . java (213) : 
webfilter- base\ impl \cam\untangle\node\ webfi Lter \WebFilterBase. java (230) : 
router\ imp1\cam\untangle\node\ router \ Dhqpvonitor. java (159) : 
spam base\ imp1\can\untangle\node\ spam\ RBLChecker. java (166) : 
spamassassin\ imp] \cam\untangle\node\ spamassassin\ SpamAssassinScanner. java (47) : 
uv Lib\ imp] \cam\untangle\uvm\ engine\ HeapMonitor. java (152) : 
uvm lib\ imp] \cam\untangle\uvm\ engine\ LogWorker . java (156) : 
uvm Lib\ imp] \cam\ untangle\uvm\ engine \NodeManagerInpl . java (611) : 
uvm 1ib\imp1\cam\untangle\uvm\ engine\RemoteToolboxManager Imp] . java (465) : 
uvm Lib\ imp] \cam\untangle\uvm\ engine\ RanoteToolboxManager Impl . java (500) : 
uvm lib\ impl\com\untangle\uvm\ engine\ RemoteToolboxManager inp . java (533) : 
uvm 1ib\imp1\cam\untangle\uvm\ engine\RemoteToolboxManager Imp] . java (535) : 
uvm 1ib\ imp] \cam\untangle\uvm\ engine\RemoteToolboxManager Imp] . java (746) : 
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uvm lib\ impl \cam\untangle\uvm\ engine \ RemoteToolboxManagerInpl . java (763) : 

uwm 1ib\imp1\cam\untangle\uvm\ engineNUgmrContext Impl . java (403) : 

uwm 1ib\imp1\cam\untangle\uvm\ engine VUgmrContext Impl . java (405) : 

uve 1ibNimplNccmNuntangleNuvmN engineNUvrContextTmp1 . java (408) : 

uym- lib\ impl \cm\untangle\uvm\engine\UwContext Impl . java (487) : 

uvm libNimplNVoamNuntangleNuvm logging\ Systemstatus . java (60) : 

uvm- Lib\ imp] \cam\untangle\uvm\ logging\ SystemStatus . java (61) : 

uvm- Lib\ imp] \cam\untangle\uvm\ networking\RuleManager. java (64) : 

uym- Lib\ imp] \cam\untangle\uvm\ networking\Rulevanager. java (75) : 

uv 1ib\localapi \cam\ untangle\node\ util\ SimpleExec. java (224) : 

uym- lib\ localapi \cam\ untangle\uvm\ LocalUvmContext . java (313) : 
Thread newThread (Runnable runnable) ; 

uvm lib\ localapi \cam\ untangle\uvm\ LocalUvnContext . java (315) : 

uvm Lib\ localapi \cam\untangle\uvm\ node VStatistidManager. java (87) : 

uym- lib\ localapi \cam\untangle\uvm\ util\JsonClient .java (80) : 

uym- lib\ localapi \com\untangle\uvm\ util \WorkerRunner. java (46) : 


\src\uvm-lib\bootstrap\com\untangle\uvm\engine\ Main. java 


public class Main 
{ 
private static final String UVM_LOCAL CONTEXT CLASSNAME 
= "cam.untangle.uvm.engine.UvrContextTml " 


startUvm() { 
uvnContext= (UvmContextBase)mcl 
-loadClass (UVM_LOCAL CONTEXT CLASSNAME) 
-getMethod ("context") . invoke (null); 


uvmContext .doInit (this); 


} 
\sre\uvm-lib\impl\com\untangle\uvm\engine\ Dispatcher. java 
\sre\uvm-lib\imp!\com\untangle\uvm\engine\CronJobImpl. java 


\sre\uvm-lib\impl\com\untangle\uvm\engine\CronManager. java 
17.5.5 Untangle Netcap 多 线程 
主要 核心 文件 如 下 : 


\untangle\sre\uvm-lib\impl\com\untangle\uvm\argon\ Argon. java 
\untangle\src\jnetcap\impl\com\untangle\jnetcap\Netcap. java 
JNI 传递 , 见 jnetcap. c 中 定义 ,位 置 如 下 : 
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\untangle\src\jnetcap\src\jnetcap. c 
\untangle\src\libnetcap\include\libnetcap. h 
\untangle\src\libnetcap\sre\netcap_thread. c 


\untangle\src\libnetcap\src\netcap_server. с 


17.6 安全 主 功能 系统 


17.6.1 安全 功能 介绍 


所 有 安全 功能 组 件 均 集 成 在 Rack 中 ,一 个 Rack 包括 多 个 FilterNode 和 ServiceNode。 
Untnagle Server 同时 有 多 个 Rack ,分 别 对 应 不 同 的 策略 管理 。 

UVM 上 的 安全 功能 组 件 (Node) 分 为 FilterNode 和 ServiceNode。 

FilterNode 功能 组 件 包括 如 下 。 

COD 网 页 过 滤 (Web Filter). 

(2) 防 病毒 (Virus Blocker) 。 

(3) 垃圾 邮件 拦截 (Spam Blocker) 。 

(4) 广告 拦截 (Ad Blocker) 。 

(5) 钓鱼 网 站 拦截 (Phish Blocker) 。 

(6) 防 间谍 软件 (Spyware Blocker) 。 

(7) BAEK (Firewall) 。 

(8) QoS 模块 。 

(9) 入 侵 保 护 (Intrusion Prevention) 。 

(10) 协议 控制 (Protocol Control) 。 

(11) HTTPS 协议 解剖 器 。 

ServiceNode 服务 类 模块 包括 如 下 。 

(1) 虚拟 专用 网 (VPN)。 

(2) 攻击 拦截 (Attack Blocker). 

(3) 报告 (Reports)。 

(4) 策略 管理 器 ( Policy Manager). 

(5) WAN 负载 均衡 ( WANBalancer) 。 

(6) WAN 故障 恢复 (WAN Failover) 。 

(7) 目录 管理 ( Directory Connector) 。 

(8) 流量 记录 (Traffic Sniffer) 。 

(9) 协同 防御 (Collaborator) 。 

(10) 网 络 访问 控制 (Captive Portal) 。 

FilterNode 和 ServiceNode( 部 分 ) 组 件 包括 每 个 组 件 都 有 启动 /关闭 按钮 ,同时 有 设置 
按钮 (Settings)。 


17.6.2 Untangle Shield 


Shield 是 Untangle 的 DDoS 保护 模块 ,其 基本 思路 是 根据 自身 的 空闲 程度 接受 /拒绝 / 
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调整 流量 。Shield 的 接纳 控制 是 基于 IP 地 址 的 信誉 (Reputation) 机 制 。 

Shield 的 实现 分 为 后 台 dameon 进程 与 前 台 UVM 的 Shield Node 管理 配置 实现 。 无 
论 是 前 台 还 是 后 台 都 是 以 debian 包 安 装 。 前 台 与 后 台 通 过 JSON 接口 与 libmicrohttpd Ж 
现 的 JSON Server 来 交互 。 

1. Shield daemon 进程 

网 络 启动 后 所 有 的 forward 流量 进入 NFQUEUE. H libnetlink 和 libnetfilter queue 
读 出 包 ,reader 进行 相应 的 accept/reject 等 操作 ,同时 维护 一 个 trie 来 记录 状态 以 及 LRU 
表示 最 近 的 活跃 的 IP 流 等 。 

Shield 的 使 用 说 明 如 下 : 


^ #shield-h [root @ saturn] 
Usage: shield 
—d: daemonize. Immediately fork on startup. 
— p< json- port» : The port to bind to for the JSON interface. 
- c< config- file> : Config file to use. 
The config- file can be modified through the JSON interface. 
— b« bless- file> : User blessing file. 
The bless- file can be modi fied through the JSON interface. 
- o< log- file» : File to place standard output (more useful with- d) . 
-ec log- file» : File to place standard error (more useful with- д). 
— qK queue- nm : Queue to use. 
- 1< dhug- level» : Debugging level. 
- h: Help (show this message) 


Shield 启动 为 守护 进程 daemon, Н monitd 进程 进行 监控 ,启动 的 参数 显示 如 下 s 


^ #ps aux |grep shield [root @ satum] 
root 21688 0.4 0.0 1824 536? S 14:52 0:00 /bin/dash 
/usr/share/untangle- shield/bin/monitor.shield 

root 21693 0.6 0.0 29420 1392? sl 14:52 0:00 /usr/bin/shield- p 


3001- q 3001- c /etc/untangle- shield.conf- b /var/run/shield- users.conf- o 
/var/log/untangle- shield/debug.log- e /var/log/untangle- shield/error.log 


Shield 启动 脚本 文件 为 /etc/init. d/untangle-shield, 
主要 的 配置 为 /etc/untangle-shield. conf。 
Shield 包 的 源 代 码 见 : \untangle\pkgs\untangle-shield\src\main. c。 
简单 C 语言 实现 的 daemon 程序 见 http://www. systhread. net/texts/200508cdaemon2. php. 
Shield 基于 Netcap 的 事件 调度 实现 机 制 ,daemon 的 main. c PR E Eis fT T init Oo. 
由 _init() 函 数 进行 具体 的 初始 化 操作 。 
_init() 函 数 进行 一 系列 初始 化 操作 ,例如 : 
libmvutil_init() 
barfight_sched_init() 
barfight bouncer logs init() 
barfight shield initO 
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barfight_functions_init() 

json, server. init() 

barfight net nfqueue global init) 

barfight net nfqueue init() 

barfight bouncer reader init() 

NuntnagleVpkgsNuntangle-shieldVsreMunctions. с (可 以 被 json. server 调用 的 函数 ) 

\pkgs\untangle-shield\src\bouncer\shield. c 

\untangle\pkgs\untangle-shield\src\ bouncer\ reader. с 

\untangle\pkgs\untangle-shield\src\ bouncer\mode. c 

\untangle\pkgs\untangle-shield\src\trie\ trie. h 

2. Shield UVM node 

自动 攻击 防御 shield 节点 包括 以 下 源 文件 : 

\sre\shield\api\com\untangle\node\shield\ ShieldNode. java 

\sre\shield\api\com\untangle\node\shield\ ShieldNodeRule. java 

\sre\shield\api\com\untangle\node\shield\ ShieldSettings. java 

\sre\shield\imp!l\com\untangle\node\shield\ShieldManager. java 

ShieldManager 类 的 getLogs 将 UVM node 设置 中 的 事件 日 志 , 以 json 请 求 的 方式 发 
给 json_server(http;//IP; 3001) ,json_server 再 执行 daemon 程序 中 的 get logs PRA, 

ShieldManager 类 中 的 blessUsers 将 UVM node 设置 中 的 排除 项 的 规则 ,以 json 请 求 
的 方式 发 给 json_server(http://IP: 3001) ,json_server 再 执行 daemon 程序 中 bless. users 
函数 。 
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第 18 Untangle Web 界面 实现 


Web 功能 部 分 是 Untangle 系统 的 重要 部 分 , 它 充 分 体现 了 Untangle 系统 的 易 用 性 。 
Web 功能 部 分 分 为 Apache 部 分 和 RoR 部 分 。 


18.1 Httpd-- Tomcat 部 分 


Web 界面 系统 采用 AJAX 技术 ,客户 端 采用 JavaScript 语言 。 服 务 器 端 静态 网 页 主要 
用 Apache httpd, 动 态 网 页 基于 Tomcat 架构 。 动 态 网 页 部 分 用 Java Servlet 和 JSP R. 
后 台 接 JDBC, 


18.1.1 Apache Httpd 服务 器 


Apache 的 配置 参照 /etc/apache2/sites-enabled/uvm@ 符 号 链接 , 即 以 下 文件 目录 : 
/etc/apache2/sites-available/uvm 

/etc/apache2/httpd. conf 

/etc/apache2/untangle-con{. d/uvm. conf 

/ etc/apache2/untangle-conf. d/ workers. properties 

/ etc/apache2/mods-available/jk. conf 


/ usr/share/untangle/web/ webui/index. jsp 


RedirectMatch 301 ^/webstart. * /webui/startPage.do 


<VirtualHost * :80> 

Include /etc/apache2/untangle- conf .d/ * 

Include /etc/apache2/untangle- unrestricted- conf .d/ * 
« NirtualHost> 


<VirtualHost * :443> 
SsLEngine on 
sslCertificateFile /etc/apache2/ssl/apache.pem 
Include /etc/apache2/untangle- conf .d/ * 
Include /etc/apache2/untangle- unrestricted- conf.d/ * 
< NirtualHost> 


<VirtualHost * :64156> 
Include /etc/apache2/untangle- unrestricted- conf.d/* 
< VirtualHost> 


<VirtualHost * :64157> 
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SSIEngine on 

SSICertificateFile /etc/apache2/ssl/apache.pem 

Include /etc/apache2/untangle- conf .d/ + 

Include /etc/apache2/untangle- unrestricted- conf .d/ * 
< NVirtualHost> 


UntangleWeb 网 页 位 置 如 下 : 


/var/wM/ 
/var/www/UntangleTk 
/var/ww/AjaxTk 
/var/ww/ext 
/var/ww/java/ 
/var/www/docs/ 
Aar/wwi/jsonrpc/ 
/var/www/scripts/ 


18.1.2 Apache Tomcat 服务 器 


1. Apache Tomcat 基础 

Tomcat 是 一 款 功能 强大 的 Servlet 容器 ,为 Servlet 提供 了 执行 环境 以 及 系统 资源 (如 
文件 系统 )。Tomcat 由 插件 组 成 ,插件 以 嵌 套 的 方式 装配 在 一 起 。 组 件 的 配置 说 明 服务 如 
何 运 行 ,包括 是 否 使 用 特定 的 过 滤器 、 服 务 器 监听 的 端口 等 。 

访问 Servlet 的 推荐 途径 主要 是 逻辑 映射 (Logical Mapping) ,映射 URL 的 文件 路 径 到 
Servlet 上 。 另 一 种 是 对 Servlet 匹配 其 字符 序列 。 

虽然 Servlet 比 CGI 完善 ,但 其 主要 用 途 为 逻辑 处 理 , 在 创建 HTML 文件 方面 不 太 实 
用 ,要 求 HTML 设计 人 员 要 熟悉 Java, 以 避免 破坏 Servlet。 为 此 引入 JSP 技术 。 

JSP(Java Server Page) 是 在 传统 的 网 页 中 加 入 Java 程序 段 与 JSP 标签 。Java 程序 段 
用 于 操作 数据 库 , 重 定向 网 页 和 发 送 邮件 。Tomcat 服务 器 接收 到 Web 客户 端的 JSP 请 求 
时 ,对 JSP 语法 分 析 生 成 Java Servlet, Mod jk 负责 与 Tomcat iÑ fi . Tomcat 作为 Servlet 
的 容器 生成 动态 网 页 内 容 。Tomcat 的 worker 程序 等 待 执行 Sevlet 的 Tomcat 实例 ,从 
Apache Web Server 转发 对 应 Servlet 请 求 到 worker 程序 。 

Tomcat 包含 Catalina 的 Servlet 容器 用 于 执行 Servlet 和 编译 JSP, 还 包含 JSP 文件 的 
编译 器 Jasper。JSP 编译 器 与 Servlet 容器 的 整合 统称 为 Web 容器 ( 即 可 以 整合 Java Web 
应 用 的 容器 ) 。 

每 个 标签 都 有 一 个 相应 的 Java 类 ,包含 了 可 能 出 现在 网 页 上 的 其 他 代码 。 在 网 页 中 标 
签 看 上 就 像 HTML 一 样 , 有 一 个 开始 标签 ,接着 是 一 个 结束 标签 ,以 及 指定 的 文本 。 这 些 
标签 的 生命 周期 包含 一 个 方法 , 它 在 开始 标签 激活 时 调用 ,叫做 doStartTag(); 另 一 个 方法 
在 结束 标签 时 被 激活 调用 ,叫做 doEndTag(); 还 有 一 个 标签 在 下 一 个 请 求 就 绪 时 转换 状态 
时 调用 。 

JSP EL (JSP 扩展 语言 ) 定 义 了 一 种 易于 使 用 的 语法 用 于 访问 Java Beans 等 。 

2. Apache Tomcat 启动 


sre\uvm-lib\imp!\com\untangle\uvm\engine\ TomcatManager. java 


其 核心 类 的 TomcatManager 的 参数 如 下 : 


TancatManager (UmContext Irpl uvmContext, 

InheritableThreadlocal« HttpServletRequest^ threadRequest, 

String catalinaHame, String webAppRoot, String logDir) 
src\uvm-lib\imp!\com\untangle\uvm\engine\ UvmContextImpl. java 


Jaa Tomcat 服务 ,设置 Tomcat 参数 : 


System.getProperty ("bunnicula.hame") , 
System.getProperty ("bunniaula.web.dir") , 
System.getProperty ("bunnicula.1og.dir")); 


BIJE bunnicula. home 设置 JJ/usr/share/untangle. bunnicula. web 设置 为 /usr/share/ 


untangle/web。 


// create an Catalina Engine 
Engine baseEngine= arb.createEngine () ; 


// set Engine properties 
baseEngine. setName ("tancat") ; 
baseEngine.setDefaul tHost (hostname) ; 


loadSystemApp ("/blockpage", “blockpage") ; 
loadSystemApp ("/reports", "reports", new WebAppoptions (true, 
new ReportingOutsideAccessValve ())) ; 

loadSystenBpp ("/alpaca", "alpaca",…); 

loadsystenagp ("/webui", "webui",.-..); 

loadSystemApp ("/setup", "setup", ); 

loadSysterApp ("/library", "Library",---); 
sre\uvm-lib\ bootstrap\com\untangle\uvm\engine\ Main. java 
sre\uvm-lib\imp!\com\ untangle\uvm\engine\ A ppServerManagerImpl. java 
Tomcat 目录 包括 主 目录 CATALINA_HOME fil/bin,/conf,/lib./logs,/tmp,/web, 

/work ,如 下 所 示 。 


$ CATALINA HOME — Tomcat 安装 目录 


Fe bin 用 以 启动 .关闭 Tamcat 或 者 其 他 功能 的 脚本 (bat 文 件 和 .sh 文件 ) 
| camen. Catalina 和 WEb 应 用 程序 用 到 的 Class 及 库 文件 

FL cont 用 以 配置 Tomcat 的 xw X pm 文件 

—1cgs Catalina 和 其 他 web 应 用 程序 的 日 志 

H+ server Catalina Fl 3) #0 Class 及 库 文 件 

F shared Web 应 用 程序 用 到 的 Class 及 库 文 件 

H| tem 临时 文件 目录 

H— webapps Web Ju FA Fe HR Н oi 

L— work 用 以 生成 由 SP 编译 生成 的 Servlet 的 .java 和 .class 文 件 


work 目录 用 于 工作 中 和 临时 文件 , 当 ISP 编译 过 程 中 JSP 转换 为 Javaservlet 并 通过 
该 目录 被 访问 ,该 目录 将 会 大 量 被 使 用 。 

web 目录 是 Web 应 用 程序 的 存放 位 置 .标准 的 Tomcat 带 有 几 个 应 用 程序 在 该 目 
录 中 。 

web 目录 包括 如 下 目录 : 


/alpaca/  blockpage/ idblocker/  library/ openvpn/  quarantine/  reports/ setup/  spyware/ 
virus/ webfilter/ webstart/ webui/ 


中 ,webui 对 应 着 外 部 访问 为 


http: //TRaddr /webui 
/usr/share/untangle/web/webui /WEB- INF/web. xml. 


Untangle 的 Servlets 包括 : 
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src/uvm- lib/servlets/alpaca 
src/uvm- lib/servlets/blockpage 
src/uvm- lib/servlets/library 
src/uvm- lib/servlets/reports 
src/uvm- lib/servlets/setup 
src/uvm- lib/servlets/webui 


不 同 的 安全 组 件 的 设置 采用 Hibernate 作为 一 个 对 象 持 久 化 到 数据 库 中 (Persistence) 。 详 
见 安全 应 用 Node 开发 过 程 。 

3. Untangle-VM Web 部 署 

Web 应 用 程序 一 般 安 装 在 二 $CATALINA_HOME/webapps 二 目录 下 ,Serverlet 2. 5 
要 求 Web 应 用 遵从 一 定 的 基础 目录 架构 o 

Web 应 用 程序 位 于 /webapps 中 ,通过 URL: http://localhost/webapps/ 可 以 访问 
到 。/webapps/ 也 称 为 Web 应 用 程序 的 context 路 径 。 

Web 应 用 程序 架构 需要 含有 WEB-INF 目录 的 web. xml 文件 。WEB-INF 和 META- 
INF 目录 是 应 用 程序 的 私有 资源 ,不 能 直接 被 客户 端 应 用 程序 直接 访问 。 

META-INF 目录 可 以 包含 两 个 配置 文件 : manifest 文件 (manifest. xml) 和 context Ж 
fT Ccontext. xml). 

WEB-INF fll META-INF 目录 之 外 的 一 切 资源 都 是 公共 资源 ,可 以 通过 相应 的 URL 
访问 。 

目录 结构 如 下 : 


一 般 情况 , 当 从 浏览 器 请 求 Web 资源 时 , Web 服务 器 将 提供 静态 的 Web 资源 。 但 是 浏 
览 器 在 请 求 JSP 页 面 时 ,需要 将 JSP 页 面 编译 为 Java 文件 ,再 编译 Java 文件 为 Servlet 类 ， 
生成 class 文件 ,最 后 运行 在 浏览 器 上 输出 结果 。 

任何 以 jsp 结尾 的 URL 应 当 被 传送 到 名 为 JSP 的 Servlet, 该 Servlet Æ $ CATALINA 
HOME/conf/ web. xml 配置 文件 中 定义 。 可 以 看 到 Servlet 的 完全 名 称 为 org. apache. 
jasper. servlet. JspServlet。 请 求 传递 的 Servlet 使 用 context 路 径 来 加 载 JSP 页 面 并 将 其 传 
递 到 Tomcat 的 JSP 编译 器 ,如 Jasper. load-on-startup 选项 保证 在 启动 过 程 中 Servlet 类 
以 优先 级 1 被 装 和 人 内存, 以 保证 它 在 任何 JSP 请 求 前 被 加 载 。 

Default Servlet 用 来 为 所 有 的 Web 应 用 的 静态 资源 内 容 (HTML/GIF 文件 ) 服 务 ,也 
为 目录 服务 。 换 言 之 ,Default Servlet 提供 相当 于 标准 的 Web 服务 的 能 力 。 

Invoker Servlet 能 直接 加 载 或 者 执行 任何 的 Servlet, 因 为 它 能 够 像 任何 一 个 Servlet 发 
出 请 求 。Invoker Servlet 有 可 能 成 为 系统 中 的 安全 隐患 。 

JspServlet 将 JSP 网 页 归 到 Servlet 中 执行 。SSI 和 CGI Servlets 配置 就 不 再 叙述 了 。 


<servlet> 
< servlet- name> default« /servlet- name» 
< servlet- class» 
org.apache.catalina.servlets.DefaultServlet 
< /servlet- class» 
< init- param» 
< param name» delbug< /param- name> 
< param- value» 0< /param- value» 
< /init- paran 
< init- param 
< param- name> listings< /param- name> 
< param value» false< /param- value» 
< /init- param 
< 1oad- on- startup» 1< /load- оп- startup» 
< /servlet» 


Xx 

< servlet> 
< servlet- name» invoker« /servlet- name» 
< servlet- class» 
org.apache.catalina.servlets.InvokerServlet 
< /servlet- class» 
< init- param» 
< parar name> debug< /param- name> 
< param value» ( /param- value» 
< /init- paran» 
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< 1oad- on- startup» 2< /1oad- on- startup» 
< /serviet> 
--> 


<servlet> 
< servlet- name> jsp /servlet- name» 
< servlet- class» ong.apache. jasper.servlet .JspServiet< /servlet- class» 
< init- paran 
< parar name> fork< /param name> 
< param- value> false< /param- value> 
< /init- param» 
< init- param> 
< param name> xpoweredBy< /param- name> 
< param value» false< /param- value» 
« /init- paran 
< load- on- startup» 3< /load- on- startup» 
< /servlet» 


通过 使 用 二 servlet-mapping > 26 Ж 4E Х й URL mapping 来 实现 这 些 操作 。 在 
$ CATALINA_HOME/conf/web. xml 中 定义 了 该 URL mapping。 该 文件 是 Web 应 用 程 
序 的 部 署 描述 符 , 独 立 的 Web 应 用 可 以 自己 定义 自己 的 描述 符 。 


< 上-================Biilt In Заме Mypings---------------------------5 
< 1- - The servlet mappings for the built in servlets defined above. Note --> 
< !-- that, by default, the ССІ and SSI servlets are not mapped. You ==> 
< 1- -must uncomment these mappings (or add them to your application's own --> 
< !+-web.xml deployment descriptor) to enable these services --> 


< 1- - The mapping for the default servlet- -> 
« servlet- mapping» 
< servlet- name» default« /servlet- name» 
<url- pattern» /< /url- pattem> 
< /servlet- mapping> 


< 1- - The mapping for the invoker servlet- – > 
Set 
< servlet- mapping» 
< servlet- name» іпуокег< /servlet- name» 
<url-patterm /servlet/ * < /url- patterm» 
< /servlet- mapping» 
== 


< !— - The mapping for the JSP servlet- -> 
< servlet- mapping» 
< servlet- name> jsp< /servlet- name» 
«url- patterr» * .jsp< /url- patte» 
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< /servlet- mapping» 


< servlet- mapping» 
< servlet- name> jsp /servlet- name» 
«url- patter * .jspx< /url- pattem> 
« /servlet- mapping» 


< 1- - The mapping for the SSI servlet- -> 
<1-- 


< servlet- mapping» 

< servlet- name» ssi« /servlet- name» 
<url-patterm * .shtml< /url- patter> 
< /servlet- mapping» 


< 1- - The mapping for the ССІ Gateway servlet- – > 


<i- 
< servlet- mapping> 
< servlet- name> ogi< /servlet- name» 
<url- pattem /cgi- bin/ * < /url- pattem» 
< /servlet- mapping» 
--> 
4. JavaScript 客户 端 
浏览 器 的 Web 界面 系统 采用 AJAX 技术 , $ CATALINA_HOME/webapps/script 中 
存放 基于 ExtJS 开发 的 JavaScript 的 界面 功能 。 
JavaScript 文件 主要 有 : 


main.jsmain- min.js ccmponents.jsccmponents- min.jsnd5.jsnd5- min.js 
untangle-node- * / 
* .Settings * -min.js 
config/ 
administration.js email.js localDirectory.js policyManager.js 
systenInfo.js system.js upgrade.js 
administration-min.js ”erail-min.js  ocalDirectory-min.js policyMenager- min.js 
systemInfo-min.js system-min.js upgrade-min.js 
* -min. js 为 去 掉 宛 余 字符 的 压缩 版 本 。 
18.2 RoR 部 分 
Untangle 系统 的 untangle-net-alpaca 和 untangle-restore-tools 是 基于 Ruby on Rails 


(ROR) 架 构 ,RoR 的 源 文 件 为 pkgs/untangle-rails。 
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单 击 Config ,再 单 击 networking ,出现 配 置 界面 http://localhost/alpaca, 在 网 页 上 进行 
配置 。 


http://localhost :3000/alpaca 
用 户 名 为 root ,密码 为 管理 员 账 号 。 
http://localhost :3000/alpaca/interface/list 


JÉ d; Config. ff i networking, 出 现 配 置 界面 http://localhost/apaca, 在 网 页 上 的 
Basic Mode 的 wizard 进行 配置 。 


http: //localhost :3000/alpaca/wizard 


1. JavaScript 客户 端 
以 流量 控制 (Traffic Control) 25 il : 


pkgs/untangle- net- alpaca/files/var/lib/rails/untangle- net- alpaca/public/ 
javascripts/e/rule builder.js 


rule builder. js 描述 了 客户 端 qos 规则 创建 的 面板 。 


pkgs/untangle- net- alpaca/files/var/lib/rai 1s/untangle- net- alpaca/public/ 

javascripts/e/glue.js 

saveSettings, 2 JJ panel confirmedSaveSettings. [it ff i TE. RIL HTTP 请 求 到 ruby. iif 
求 链接 为 saveSettings 或 saveMethod, 


pkgs/antangle- net- alpaca/files/var/lib/rails/untangle- net- alpaca/public/ 

javascripts/e/util.js 

util. js 中 executeRemoteFunction 方法 调用 ruby. 20 it json 格式 传递 ,ruby 中 可 
以 直接 以 对 象 的 形式 调 出 ,如 params[Lbandwidth],paramsLrules]… 

2. Rails 服务 器 端 

Mongrel 是 Rails 的 默认 Web 服务 器 。http://localhost: 3000 用 于 判断 Mongrel 服 
务 器 是 否 已 经 启动 。 

untangle-net-alpaca 负责 网 络 配置 ,包括 界面 以 及 相应 的 脚本 。untangle-net-alpaca Ж 
用 Rails 架构 ,基于 Mongrel 服务 器 。 其 Web 目录 为 


ar [aww /OntangleTk 
ax awn /BxjaxTk 
ar /sav/extz 

ar /sii/-java/ 
Маг/мым/досз/ 
Var/wa/jsonrpc/ 
var/www/scripts/ 


启动 /etc/init. d/untangle-net-alpaca 脚本 ,也 就 启动 了 Web 服务 器 mongrel rails. 
启动 /etc/init. d/untangle-net-alpaca-iptables 脚本 ,将 运行 /etc/ untangle-net-alpaca/ 
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scripts/iptables 脚本 ,该 脚本 运行 了 nf 的 load. modules C/ usr/share/untangle-net-alpca/ 
scripts/load_modules) 。 


默认 的 加 载 netfilter 模块 有 : 


DEFAULT MODULES- "nf conntrack N 
nf conntrack h323 nf conntrack netbios ns V 
nf conntrack proto gre nf conntrack tftp\ 
nf conntrack amanda nf conntrack ipv4V 
nf conntrack netlink nf conntrack proto sctp\ 


nf_comntrack ftp nf conntrack irc\ 

nf conntrack pptp nf conntrack sip nf nat nf nat ftp\ 
nf nat irc nf nat proto gre nf nat smp basic пЁ nat amandaN 
nf nat h323 nf nat рр nf mt sip nf nat tftp" 


然后 该 脚本 的 run iptables scriptsO PK BU 38 FF /etc/ untangle-net-alpaca/iptables- 
rules. d/ FAY iptables 规则 。 

最 后 该 脚本 运行 (将 转发 的 网 包 送 入 NFQUEUE 10 号 队列 ) ; 

./sbin/iptables- A FORWARD- j NFQUEUE- - queue- num 10 

注意 : 

(1) £ Linux 2.4 内 核 中 出 现 了 ip_queue, 用 于 将 网 包 从 内 核 空间 传递 到 用 户 空间 ,缺点 
是 只 能 有 一 个 应 用 程序 接收 内 核 数 据 。Linux 2. 6. 14 以 后 ,新 增 了 nfnetlink_queue, 理 论 上 可 
最 大 可 支持 65 536 个 应 用 程序 接口 ,而 且 可 以 兼容 ip_queue。 但 是 从 内 核 到 用 户 空 间 的 通道 
还 是 只 有 一 个 ,实际 上 netfilter 对 每 个 协议 族 也 只 有 一 个 队列 ,这 里 说 的 65 536 个 子 队列 的 实 
现 就 像 802. 1Q 实现 VLAN 一 样 是 在 网 包 中 设置 ID 号 来 区 分 的 ,不 同 ID 的 包 都 通过 相同 的 
接口 传输 ,只 是 在 两 端 根据 ID 号 进行 了 分 类 处 理 。 

(2) 用 户 空 间 。 用 户 空 间 的 支持 库 包括 两 个 : libnfnetlink 和 libnetfilter_queue, 后 者 需 
要 前 者 支持 ,其 源码 见 netfilter 项 目 网 站 。 

(3) 用 户 空间 与 QUEUE 的 关系 。Untangle 需要 驻 留 在 kernel 里 的 netfilter 把 途经 
本 机 的 网 包 放 进 queue 里 ,由 在 user mode 里 的 UVM 使 用 libnetfilter_queue 库 收 取 这 些 
网 包 。 

联网 的 基本 模式 的 配置 向 导 , 其 代码 采用 rails 框架 , 源 代码 在 如 下 目录 中 : 

(http://localhost: 3000/alpaca/wizard) 的 Rails 框架 架构 在 


/Nar/lib/rails/ntangle— net- alpaca/lib/ 
Aar/lib/rails/atangle- net- alpaca/1ib/alpaca/ 
/ var/lib/rails/untangle-net-alpaca/lib/os library/debian/network manager. rb 
更 新 /etc/network/ interfaces 
更 新 /etc/network/run/ifstate 
更 新 /etc/untangle- net- alpaca/ethernet media 
/var/lib/rails/untangle-net-alpaca/lib/os_library/debian/qos_manager. rb 
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更 新 /etc/untangle- net- alpaca/tc- rules.d/100- high- priority* 
更 新 /etc/untangle- net- alpaca/tc- rules.d/200- mid- priority * 
更 新 /etc/untangle net- alpaca/tc- rules.d/300- lw- priority * 
更 新 /etc/untangle- net- alpaca/tc- rules.d/900- system- priority 


更 新 /etc/ untangle- net- alpaca/iptables- rules.d/800- gos 
/ var/lib/rails/untangle-net-alpaca/lib/os library/debian/packet filter maneger. rb 


更 新 /etc/ untangle- net- alpaca/iptables- rules.d/010- flush 

更 新 /etc/ untangle- net- alpaca/iptables- rules.d/100- init- chains 
更 新 /etc/ untangle- net- alpaca/iptables- rules.d/200- networking 
更 新 /etc/ untangle- net- alpaca/iptables- rules.d/400- firewall 
更 新 /etc/ untangle- net- alpaca/iptables- rules.d/600- redirect 
更 新 /etc/ untangle- net- alpaca/iptables- rules.d/700- nat- firewall 
更 新 /etc/ untangle- net- alpaca/iptables- rules.d/900- single- nic 


/ var/lib/rails/untangle-net-alpaca/lib/os library/debian/uvm manager. rb 


更 新 /etc/untangle- net- alpaca/iptables- rules.d/ 800- uvm 

更 新 /etc/ntangle- net- alpaca/iptables- rules.d/ 475- uvm- services (before the firewall) 
更 新 /etc/ntangle- net- alpaca/iptables- rules.d/ 675- uvm- services (after the firewall) 
38 dr /etc/untangle- net- alpaca/iptables- rules.d/ 475- openvpn- pf 

更 新 /etc/untangle- net- alpaca/interface.properties 

更 新 usr/share/untangle- ret- alpaca/scripts/uvwvupdate- configuration 


/ var/lib/rails/untangle-net-alpaca/lib/os library/debian/routes maneger. rb 


更 新 /etc/ untangle- net- alpaca/routes (fft ЕН fri & PJ EL H EA F йй b as) : 
fip route show table all type unicast 


/ var/lib/rails/untangle-net-alpaca/lib/os library/debian/routes maneger. rb 
更 新 /etc/ untangle- net- alpaca/scripts/update- address.d/10- hostname 
/ var/lib/rails/untangle-net-alpaca/lib/os library/debian/hostname manager. rb 


UpdateHostNameScript= "/etc/untangle- net- alpaca/scripts/update- address.d/10- hostname" 


/ var/lib/rails/untangle-net-alpaca/lib/os library/debian/dns server manager. rb 


UpdateHostNameScript= "/etc/untangle- net- alpaca/scripts/update- address.d/ll- dnsmasq- hosts" 


pkgs\untangle- net- alpaca files\var\1ib\ rails\untangle- net- alpaca\app\controllers\qos_controller.rb 

qos controller. rb 定义 了 ruby 的 HTTP Server 的 后 台 , 如 get. settings 和 set_ 
settings.set settings 调用 各 配置 (Active_Record 子 类 ) 的 save 方法 保存 配置 ,并 在 最 后 调 
用 os[ packet. filter manager']ff] commit 方法 ,更 新 iptables 规则 ,该 类 定义 在 packet. filter 
_manager. rb. 


pkgs\untangle- net- alpaca\ files\var\1lib\rails\untangle- net- 
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alpaca\lib\os_library\debian\packet_filter manager.rb 
pkgs\untangle- net- alpaca \ files \ var\ lib\ rails \ untangle- met- alpaca\ lib\os_library\debian\ * _ 
manaqer.rb 


基本 上 是 在 启动 或 者 更 新 设置 时 ,把 添加 规则 (所 有 规则 ,包括 新 规则 和 原 有 规则 ) 的 命 
令 写 到 脚本 文件 /etc/untangle-netralpaca/xxx 中 (如 /etc/untangle-net-alpaca/untangle- 
qos/ * ./etc/untangle-net-alpaca/tc-rules. d/ * ,前 两 个 在 qos _ manager. rb 中 ,/etc/ 
untangle-net-alpaca/iptables-rules. d/ * ,后 一 个 在 packet. filter manager. rb 中 ) ,再 运行 应 
用 ,使 新 规则 集 生 效 (TC 脚本 采用 Linux LARTC 的 代码 , DL http://lartc. org/ 
wondershaper) 。 

3. 网 络 配置 初始 化 脚本 

http://localhost; 3000/net-alpaca 


/etc/init.d/networking 
/etc/network/if- up.d/alpaca (run- parts /etc/ untangle- net- alpaca/scripts/update- address .d/ 
/etc/network/if- down.d 
/etc/network/if- post- down.d/ 
/etc/network/ if- pre- up.d/ 
/etc/network/run/ 
/etc/network/interfaces 


所 有 网 络 设 备 均 在 /sys/class/net/. 
DHCP Server 的 配置 文件 在 /var/lib/dhcp/dhcpd. lease. 


Arar./lib/rails/untangle- net- alpaca/app/oontrollers/dhcp controller.rb 
/var/lib/rails/untangle- net- alpaca/lib/os library/null/dhgp manager.rb 
/var/lib/rails/untangle- net- alpaca/lib/os library/debian/dhgp manager.rb 
/var/lib/rails/untangle- ret- alpaca/lib/os library/debian/dip server menager.rb 
/var/lib/rails/untangle- net- alpaca/lib/os library/dhcp manager.rb 
/var/lib/rails/untangle- net- alpaca/lib/os library/dhcp server manager.ri 
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9819 & Untangle uvm 数据 库 系统 


Untangle 基于 开源 PostgreSQL 关系 型 数据 库 ,并 把 该 数据 库 作 为 其 系统 设置 .系统 事 
件 和 用 户 资料 的 存储 。PostgreSQL 关系 型 数据 库 以 性 能 和 稳定 性 著称 。 


19.1 PostgreSQL 数据 库 


启动 postgresql: 


#service postgresql start 
#/etc/init .d/postgresql start 


查看 postgresql 

fog] um postgres (peql dnare username) 
BEA postgresql 命令 行 交 互 

uve # 


提示 符 三 # 表 明 目 前 是 数据 库 超级 用 户 , 最 可 能 出 现在 安装 PostgreSQL 的 用 户 情况 
下 ,作为 超级 用 户 意 味 着 不 受 访问 控制 的 限制 。 


19.2 PostgreSQL 基本 命令 


基本 命令 如 下 。 

\q: 退出 。 

V: 查看 系统 中 现 有 数据 库 。 

Vei 从 一 个 数据 库 转 到 另 一 个 数据 库 。 

Mt: KAR. 

\а 查看 结构 。 

\di: 查看 索引 。 

基于 \dt 命令 显示 的 Untangle PostgreSQL 数据 库 uvm 列表 详 见 附录 B, 部 分 列表 详 
见 以 下 查询 结果 : 


ume #select version (); 


PostgreSQL 8.3.7 on 1486- pc- linux- gnu, compiled by GX gcc- 4.3.real (Debian 4.3.2- 1.1)4.3.2 
a BHAA) 


ume #select current. date; 

ume #select * fram имп branding settings; 
ume #select * frann mail settings; 

ume #select * framu policy; 

wm #select * frampl stats; 

@ 笔 资料 列 ) 


ume #select * from pl егер; 
ume #select * frmu address settings; 


settings id | https port | hostname | is bostrare public | has public adress | 
public ip addr | public port 
---------- +--------+-------------+-------------+--------------- 
二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 
2496619| 443 untangle.example.cam | f If 
| 1 443 
代笔 资料 列 ) 


ume #select * frmn shield settings; 
settings id | tid 


8962 | 16 
a ЗЕ РВ) 


uve #select * frmu node manager state; 
id | last tid 


l| 20 
а РВ) 


ume #select * framn ips settings; 
settings id | max chunks | tid 


5261| 8 | 9 
(1 笔 资料 列 ) 


ume #select * frmu login evt; 
umm #select * {таап sniffer evt; 
event_id | time stamp | 


95510 | 2010- 08- 13 19:58:08.146 | query: query to file "32855786.pcap" index ip 
"0.0.0.0" 
2236142 | 2010- 08- 23 19:52:35.073 | query: query to file "76823071.рсар" index ip 
"192.168.1.126" start 1281974400 end 1282564321 
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2236143 | 2010- 08- 23 19:53:24.194 | query: query to file "47362689.pcap" index ip 


"192.168.1.126" start 1281542400 end 1282564321 


1.126 0.0.0.0" start. 1281542400 end 1282564321 


2236147 | 2010- 08- 23 19:56:57.253 | query: query to file "2362052.pcap" index ip 


"199.168.1.2" 


2236148 | 2010- 08- 23 19:57:24.068 | query: query to file "88824083.pcap" index ip 


"10.0.6.47" 
(6 笔 资 料 列 ) 


19.3 Untangle 数据 库 uvm 


2236144 | 2010- 08- 23 19:53:59.803 | query: query to file "78734174.pcap" index connection? "tcp 192.168. 


数据 库 初 始 化 源 代 码 见 : NuntangleN src \ uvm-lib \ bootstrap \ com \ untangle \ uvm V 


engine\DataSourceFactory. java. 


public class DataSouroeFactory 


{ 


private static final DataSourceFactory FACTORY= new DataSourceFactory () 7 


private final CarboPooledDataSource dataScurce; 


private DataSourceFactory () 


{ 


dataSource- new CarboPooledDataSource () ; 
try { 

dataSource. setDriverClass ("org.postgresql .Driver") ; 
) catch (Propert WetcExosption ean) ( 

throw new RuntimeExoeption(exn); // won't happen 
) 
dataScurce.set;xtcUr1 ("jdbc:postgresql : // localhost /uvm? charset= unicode") ; 
dataSource.setUser ("postgres") ; 
dataSource.setPassword ("foo"); 
dataSource.setMaxStatements (180) ; 
dataSource.setMinFoolSize (5); 
dataSource.setMaxPoolSize (50); 
dataSource.setMaxTdleTime (300) ; 
dataSource.setTestConnectionOoncheckout (true) ; 
dataSource.setPreferredTestQuery ("SELECT 1"); 


public static DataSourceFactory factory () 


{ 


return FACTORY; 
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} 


数据 库 中 主要 保存 settings 和 events 两 大 类 。 

settings 类 的 数据 表 主 要 由 各 node 的 * Settings. java 进行 持久 化 操作 实现 ,比如 
AdBlockerSettings. java. 

\untangle\src\adblocker\api\com\untangle\node\adblocker\ AdBlockerSettings. java 


/x% 
* 
* @version 1.0 
*/ 
G Entity 
@ Table (name= "n adblocker settings", schema- "settings") 
public class AdBlockerSettings implements Serializable ( 


private Iong id; 
private Tid tid; 


private AdBlockerBaseSettings baseSettings- new AdBlockerPaseSettings () ; 
private Set« StringRule> rules- new HashSet< StringRule> (); 


private Set< IMaddrRule> passedClients= new HashSet< IMaddrRule> (); 
private Set« StringRule> passedUrls- new HashSet< StringRule> (); 


public AdBlockerSettings () ( 
) 


public AdBlockerSettings (Tid tid) { 
this.tid tid; 


@та 
@ Colum (name= "settings id") 
€ GeneratedValue 
public Long getId() { 
retum id; 


} 


events 类 的 数据 表 主 要 由 各 node 的 * Event. java 进行 持久 化 操作 实现 , 比如 
AdBlockerEvent. java。 
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9820 8 Untangle 运行 管理 


20.1 Untangle 运行 监控 


monit 是 UNIX 管理 监控 进程 ,文件 .目录 和 文件 系统 的 工具 。monit 可 以 进行 自动 维 
护 、 修 复 和 执行 错误 发 生 时 的 有 意义 的 后 续 动 作 ,如 重启 失去 响应 的 进程 或 者 占用 过 多 资源 
的 进程 ,如 文件 目录 和 文件 系统 的 时 戳 改 变 、 校 验 改变 和 大 小 改变 。monit 还 提供 HTTP 
和 浏览 器 接口 (https: //localhost: 2812/). 

monit 由 配置 文件 进行 管理 ,一 般 放 在 monit. d 目录 下 ,如 /etc/monit. d/conf, 


pkgs\untangle- mnit- config\ files\etc\untangle\monit .oonf 


对 各 个 组 件 的 监控 可 由 相应 的 * . conf 文件 来 进行 管理 ,配置 文件 如 下 : 


monit 

pkgs\untangle- monit- config\files\etc\untangle\monit .d\monit- base all .conf 

Apache 

pkgs\untangle- apache2- config\ files\etc\untangle\monit .d\untangle- apache? .conf .template 
ClamAV 

pkgs\untangle- clamav- config\files\etc\untangle\monit.d\clamav_i3820.conf 
Spamassassin 

pkgs\untangle- spamassassin- update\ files\etc\untangle\monit.d\spanassassin_all .conf 
Slapd 

pkgs\untangle- ldap- server\files\etc\untangle\monit.d\slapd_all.conf 

Postgresql 


pkgs\untangle- postgresql- config\files\etc\untangle\monit.d\postgresql_all.conf 


20.2 Untangle 管理 工具 集 


20.2.1 Untangle 本 地 管理 


Untangle 本 地 管理 界面 和 工具 主要 是 在 /usr/share/untangle-kiosk/homes/kiosk/ 
utils/ 。 


ut- desktop.sh 
ut-off.sh 关机 
ut-reboot.sh 重启 
Screensaver.sh 
ut- resolution.sh 
ut-shell.sh 封装 Linux shell 
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ut-restore.sh 恢复 界面 
平台 恢复 界面 主要 有 以 下 选项 : 


Untangle platform Recovery 

Backup&Restore 

Return to Factory Defaults 

Upgrade Untangle platform 

Remote Support 

ЖЯ. REID Web 管理 界面 ,可 以 通过 shell 登录 为 root 用 户 , 可 以 用 ut-restore. sh 
将 Web 登录 portal 恢复 成 默认 设置 admin/passwd。 

本 机 管理 界面 和 工具 位 置 目 录 如 下 。 


/usr/share/untangle/bin 


backup- ut * get- last- update * ret- properties * update- schema * 
bamer- nanny.sh* inspect ca* phish- get- last- update * utactivate * 

bunnicula* interface- properties* — purgedb* ut- backup- bundled. sh * 
claw œt- last- update * kill all sessions* пр* uterr* 

createpopid.rb* list- packages.sh* spamassassin- œt- last- update * utip* 

dhg lease- list * log-mem* untangle- clamav- config* utregister * 

dns- static- host- list * migrate- postgres.sh* untangle- reports- wrapper.sh* ut- remotebackup.sh * 
factory- defaults * nkg* untangle- restore * ut- restore * 
fixkeyboard * monit- wrapper.sh* untangle- smp.py ut- restore- bundled.sh * 
uttimezone * utuptime * umd restore* version newest.sh* 
xpd* 


20.2.2 Untangle 外 部 管理 配置 


需要 登录 本 机 系统 Web 管理 桌面 (默认 命令 是 admin/passwd) 。 在 管理 界面 中 ,进入 
配置 二 管理 ,添加 管理 员 账 号 。 在 外 部 管理 中 启用 外 部 管理 ,进行 外 部 报告 查看 ,允许 来 自 
任何 IP 地址 的 外 部 访问 。 


20.2.3 Untangle 外 部 SSH 登录 管理 


Untangle 初始 化 root 用 户 密码 需要 在 本 机 系统 桌面 单 击 终端 , 按 提示 输入 root 用 户 
密码 。 

为 了 适合 远程 管理 ,可 启用 SSH 服务 。 启 用 SSH 服务 : 删除 /etc/ssh/sshd_not_to_be 
run 文件 ,并 执行 /etc/init. d/ssh start 启用 SSH 服务 , 若 需 关 闭 SSH 服务 ,只 需 重新 建立 
空 文件 /etc/ssh/sshd_not_to_be_run 即 可 。 


20.2.4 Untangle 命令 行 工具 
UCLICUntangle Command Line Input) 是 非常 有 用 的 管理 工具 。 


/usr/share/untangle/pycli/jscli.py Usage: 
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optional args: 

-h hostname 

— u username 

— w password 

— t timeout (default 120000) 

-p policy 

=v 
toolbox commands: 

ucli install mackage- name 

ucli uninstall mackage- name 

ucli update 

ucli upgrade 

ucli reguestInstall mackage- name 
toolbox lists: 

ucli available 

ucli installed 

ucli uninstalled 

ucli upgradable 

ucli uptodate 
node manager comands: 

ucli instantiate mackage- name [ args ] 

ucli start TID 

ucli stop TID 

ucli destroy TID 

ucli neverStarted 
node manager lists: 

ucli instances 
node live sessions: 

ucli sessions [ TID ] 
admin manager: 

ucli who 

ucli getRegInfo 

ucli passwd [-a |- d ] login [ password ] 
uwm commands: 

ucli shutdown 

ucli serverStats 

чс gc 

ucli loadRup 

ucli setProperty key value 
policy manager: 

ucli addPolicy name [notes] 

ucli listPolicies 
reporting manager: 

ucli areReportsAvailable 
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ucli prepareReports [ args ] 
ucli startReports 
ucli stopReports 
logging manager: 
ucli userlogs tid 
ucli resetlogs 
ucli logerror [text] 
apt commands: 
ucli register mackage- name 
ucli unregister mackage- name 
argon cammands: 
nucli server commands: 
ucli restartCliserver 
debugging commands: 
ucli aptTail 
运行 jucli. py. 通过 pyCurl, 向 认证 URL 传输 认证 信息 (parser. username, parser. 
password) ,先进 行 认 证 。 
认证 URL 为 
http://localhost/webui/JSON-RPC, 
http://hostname/auth/login, 


20.3 Untangle 日 志 


Untangle 的 日 志 目 录 为 
/var/log/untangle- net- alpaca 


/var/log/untangle- shield 
/var/log/uvm 


20.3.1 Java Virtual Machine 监控 
1. CPU 利用 率 


#tcp (shift+ H)+ ThreadDurp 
按 1 键 后 ,显示 多 核 处 理 器 上 的 每 个 核 的 利用 率 . 


#pidstat -p [PID]-t15 
2. xf 1/O 消耗 


#pidstat -d-t-p [PID] 1 100 
#iostat- x худа 3 5 
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3. 网 络 1/O 消耗 
#sar-n ALL 1 2 
4. 内 存 消 耗 


#заг- г 


#pidstat- r-p [pid] [interval] [times] 
5. JVM 内 存 状况 


#jmap- heap 5084( 显 示 JM 中 各 级 内 存 分 布 状况 ) 

#jmep- histo 5084( 显 示 JWM 中 对 象 内 存 占用 状况 ) 

#jmap- dump: format- b, file= filename 5084( 导 出 整个 WM 的 内 存 信息 ) 
比如 #jmap- dump: format- b, file= Satum.bin 5084 

Eclipse Memory Analyzer 用 来 显示 dmp 的 文件 。 


6. 编译 与 类 加 载 
#jstat- class pid 

#jstat- printcampilation pid 
#jstat- gautil pid 

7. JVM 线程 运行 状况 
#jstack pid 

#pstree- a 

8. JVM 配置 信息 


#jinfo pid(JWM 配 置信 息 ) 
#jps- 1- v- VE E JM 进 程 状态 ) 
9, jnettop 
#jnettop 
20.3.2 Untangle 统计 日 志 


系统 统计 日 志 记 录 可 统计 系统 信息 ,如 磁盘 使 用 情况 ,代码 位 于 \src\uvm-lib\impl\ 


com\untangle\uvm\logging\SystemStatus. java 中 。 


public class SystemStatus { 
private String buildDynamicStat () { 
proc- LocalUvmContextFactory.context () .exec ("/pin/d£- h"); 


private String buildUWtat () ( 
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20.4 Untangle 系统 自 检 与 测试 


系统 可 自 检 自身 功能 的 正确 性 。 

/usr/share/untangle/tests/ 

untangle- base- virus/ untangle- node- phi sh/ untangle- node- spyware/ untangle- monit- 

config/ untangle- postgresql- config/ 

untangle- base- webfilter/ untangle- node- reporting/ untangle- casing- mail/ untangle- net- alpaca/ 
untangle- му 


20.5 硬件 看 门 狗 


为 了 保障 高 可 靠 性 ,除了 旁 路 直通 功能 外 ,还 需要 硬件 看 门 狗 功 能 (Watchdog) 支 持 。 
初始 设计 硬件 看 门 狗 功 能 的 基本 用 途 是 控制 系统 重启 ,可 以 在 主板 硬件 中 设 定 ,也 可 以 通过 
监护 程序 控制 。 监 护 程序 周期 性 不 间断 地 执行 “ 喂 狗 ”动作 ,如 在 一 个 周期 内 ,不 断 给 定时 器 
刷新 时 间 ,看 门 狗 就 不 发 出 重启 指令 。 如 果 软 件 系统 故障 时 ,如 系统 宕 机 时 ,监护 程序 不 能 
执行 “ 喂 狗 ?动作 ,硬件 看 门 狗 则 发 出 系统 重启 指令 。 

Watchdog 模块 与 Linux 内 核 一 同 编译 ,并 在 系统 启动 时 加 载 。 请 参考 Linux 内 核 驱动 
程序 设计 。 
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$5218 Untangle 开发 测试 调试 


21.1 Untangle 源 代码 


Untangle 代码 结构 包括 三 部 分 。 

(1) Debian Linux 内 核 修 改版 。 

(2) Untangle Virtual Machine 代码 。 

(3) 附属 部 分 : 基于 Xwindows, 一 个 简单 本 机 图 形 化 界面 。 


21.1.1 总 体 结构 


Untangle 的 代码 主要 分 为 三 个 目录 : untangle/kernels、untangle/pkgs 和 untangle/ src。 

1. Untangle/kernels 

kernels 目录 下 存放 的 是 Linux 内 核 (2. 6. 26) 源 码 , 以 及 Untangle 需要 的 netfilter 补 
丁 包 。 对 内 核 修改 后 ,最 终 可 以 编译 deb 包 进行 安装 重启 生效 。 

2. Untangle/pkgs 

pkgs 目录 中 ,比较 关键 的 与 网 络 处 理 相 关 的 deb 包 是 untangle-libnfnetlink , untangle- 
libnetfilter-queue 和 untangle-libnetfilter-conntrack ,与 kernel 下 的 netfilter 补丁 包 对 应 。 

pkgs 目录 下 是 Untangle 需要 的 一 些 软件 包 或 后 台 程 序 的 配置 包 , 如 untangle-apache- 
config2 是 Web 服务 器 的 配置 和 资源 包 ; untangle-net-alpaca 是 主要 网 络 配置 相关 内 容 , 包 
括 系统 iptables, te 的 配置 …… 每 个 pkgs 里 的 软件 包 都 相对 独立 ,可 以 生成 单独 的 deb 安 
装 包 。 

3. Untangle/sre 

src 目录 下 代码 以 Java 为 主 , 它 是 整个 Untangle 应 用 的 主体 。 包 含 从 网 包 获 取 和 连接 
表 的 保存 ,Untangle 应 用 平台 和 应 用 组 件 。 

网 包 获 取 和 连接 表 代 码 涉 及 libnetcap, libmvutil, libvector, jnetcap, jmvutil,jvector JL 
个 目录 。 其 中 ,libnetcap 中 的 代码 主要 是 从 网 卡 接收 和 发 送 网 包 , 识 别 并 保存 会 话 , 以 代理 
的 模式 将 一 个 会 话 拆 分 为 两 段 ,Untangle 本 身 作 为 一 个 中 间 代 理 , 与 连接 的 双方 分 别 建立 
连接 。libmvutil 和 libvector 将 会 话 中 的 网 包 封 装 为 自 定义 的 事件 对 象 (Event) ,并 通知 已 
注册 的 组 件 ( 包 含 在 一 个 观察 者 链表 中 ), 令 其 对 事件 进行 操作 。jnetcap、jmvutil、jvector 分 
别 将 前 三 个 包 的 函数 实现 与 Java 中 的 接口 连接 起 来 ,通过 JNI 进行 。 

Untangle 应 用 框架 untangle-vm 用 Java 编写 ,主要 包括 uvm-lib 和 uvm 两 个 目录 。 
uvm-lib 目录 为 安全 应 用 组 件 node 依赖 库 和 Untangle 虚拟 机 的 主 程序 入 口 。 

Untangle 使 用 类 似 虚 拟 机 的 概念 ,提供 Untangle 安全 应 用 组 件 需要 的 各 种 服务 ,包括 
各 种 管理 器 ,管道 等 的 接口 和 实现 (如 配置 管理 器 、 备 份 管理 等 )、 应 用 组 件 的 基 类 和 接口 等 。 
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UVM 上 的 应 用 组 件 (Node) 分 为 FilterNode 和 Services Node, FilterNode 主要 包括 
各 种 安全 模块 的 实现 ,如 防火 墙 组 件 , 防 病毒 组 件 .垃圾 邮件 过 滤 组 件 。 服 务 类 模块 有 状态 


报告 (report) ` 流 量 记录 (sniffer) 等 。 
21.1.2 UVM 代码 结构 


UVM 代码 拆 分 为 uvm-lib 和 uvm 两 个 目录 ,uvm 目录 里 多 为 执行 脚本 ,Java 代码 则 包 


含 在 uvm-lib 目录 中 。 


la 38 uvm-lib 


uvm-lib 代码 结构 如 图 21-1 所 示 。 > rt " 
目录 结构 如 下 所 示 。 #99 impl 


(1) api 目录 提供 UVM 需要 的 接口 和 数据 结构 。 
(2) localapi 目录 提供 UVM 需要 的 接口 和 数据 结构 。 
(3) impl 目录 是 UVM 服务 接口 的 实现 ,其 主体 为 com. 


#9 localapi 
39 servlets/alpaca/src 


48 servlets/reports/src 
$8 servlets/setup/src 


#9 servlets/webui/src 


untangle, uvm. engine 包 里 的 类 。 
(4) bootstrap 目录 内 包含 UVM 启动 和 初始 化 ,入 口 类 为 [ 21-1 
Main, java 文件 的 基本 类 сот. untangle. uvm. engine. Main, 
UVM 执行 参数 如 下 所 示 : 


/usr/lib/jvm/java- 6- sun/bin/java 

- Djavax.net.ssl.trustStore- /usr/share/untangle/conf/cacerts 

- Djava.endorsed.dirs- /usr/share/java/endorsed 

- Djava.library.path- /usr/lib/uvm 

= Ibunnicula.hame- /usr/share/untangle 

- Djdbc.drivers= org.postgresql .Driver 

- Doam.untangle.isDevel- false 

- Djruby.she11= /bin/sh 

= Doam.untangle.cli .server.hare- /usr/share/untangle- cli- server/src 
= Хтх1600т – Xms128m 

— XX:+ UseCondMarkSweepGc - XX:+ CMSIncrementalMode 

— XX:+ GvSIncrementalPacing - XX:CMSIncrementalDutyCycleMin= 10 

- XX:CS Incremental DutyCycle= 50 – XX:CMSIncrementalSafetyFactor= 90 
- Xloggc: /var/log/uvm/gc.log - XX:+ PrintGCDetails - XX:+ PrintGCDateStamps 
- verbose:gc 

— server - Xss96k 

- Dje.maxMemory= 120 

— Dnetworkacdtdress .cache.ttl- 30 

- psun.net.inetaddr.ttl- 30 

— Dnetworkaddress .cache.negative.ttl- 10 

= Dlog4j .configuration= file: /usr/share/untangle/conf/109g4j- uvm.xml. 
com.untangle.uvm.engine.Main 


参数 的 配置 为 以 下 文件 。 


\untangle\untangle-sre\uvm-lib\ hier\ etc\default\ untangle-vm 


# UWM server settings - * -sh * — 
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b 
> 
b 
> 
> $9 serviets/library/src 
b 
> 
> 
> 


£ taglib 


uvm-lib 代码 结构 


source @ PREFIX@ /etc/default/untangle- activation 


MAX HEAP SIZE- 320m Ф to be overwritten by untangle- hw 
MAX BERKDB ME 32 # to be overwritten by untangle- hw 
MAX VIRTUAL SIZE- 1100000 # to be overwritten by untangle- hw 


if [ - f @ PREFIX /etc/default/untangle- hw ] ; then 
Source @ PREFIX@ /etc/default/untangle- hw # this one is dynamically generated by hw- config 
fi 


+ 

# untangle- wm configuration 
+ 

UM REGS= "" 


UM IOGDIR- @ PREFIX@ /var/log/uvm 

UM RUNDIR= @ PREFIXE /var/run 

UM QONSOLE LOG=$ (UVM CONSOLE. IOG:— $ UVM_LOGDIR/console.1og} 
UVM_WRAPPER_LOG= $ UVM_LOGDIR/wrapper.log 
UM GC 105= $ UM ICGDIR/gc.1og 

MONIT IOG- $ UVM_LOGDIR/monit..log 
PACKAGES LOG= $ UVM_LOGDIR/packages ..log 
UM CMD= @ PREFIX@ /usr/bin/uvm 

UM USER= root 

UM YJP=$ (UM YJP- $ :— no) 

UVM NICENESS- 0 


## if in the build, disable network configuration by default 
# UM ARGS= "$ {UVM_ARGS} - Duvm.devel .nonetworking- true" 


# # Set a session limit- defaults to 10k 
# UM ARGS= "9 (UM ARGS} - Dargon.sessionlimit= $ {UM SESSION LIMIT)" 


# # Enable the heap monitor. 
# UM ARGS= "$ {UVM_ARGS} - Doom.untangle.uvm.memmonitor.enabled= true" 


# # Rate, kilobytes/second to start dumping stack traces. 
# UM ARGS- "$ {UM ARGS} - Doam.untangle.uvm.memmonitor.rate- $ ((3 * 1024)" 


# # required minimum to start dumping memory (even if rate exceeds rate) 
# UM ARGS "$ {UVM_ARGS} - Doam.untangle.uvm.memmonitor.min- $ ((100 * 1024 ))" 


# # Level at which to just dump memory regardless of the rate 
# UM ARGS= "$ {UVM_ARGS} – Doom.untangle.uvm.menmonitor.level=$ (( 310 * 1024 ))" 
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# # Poll frequencies in milliseconds 
# UM ARGS "$ {UVM_ARGS} – Dcam.untangle.uvm.memmonitor .ро11= 500" 


# £Minimm nuriber of milliseconds in between dumping two thread dumps 
# UM ARGS= "S {UVM_ARGS} – Doam.untangle.uvm.menmonitor.interval- 3000" 


+ # Name of the file where the log should go, if unspecified, this goes to console.log 
# UVM_ARGS= "$ {UVM_ARGS} – Dcam.untangle.uvm.memonitor.file=heapmonitor.1og” 


# # Lifetime for positive phonebook lookups (millis) 
# UVM_ARGS= "S {UVM_ARGS} - Doam.untangle.uvm.user .phonebook.1ifetime= 300000" 


# # Expiration time for host- bypassed sites (millis) 
# UVM_ARGS= "$ {UM ARGS) – Doom. untangle. node. webfilter.bypass— timeout= 3600000 - Гост. untangle.node. 
webfilter.bypass- sleep- delay- 1200000" 


1 4 Limit Berkeley ГВ caching to 5%of java heap 
UM ARGS "$ {UVM_ARGS} – Dje.maxMemory= $ (MAX BERKDB MEG)" 


# 4 Reduce DNS caching to minimal (30 seconds). 
UVM_ARGS="$ {UVM_ARGS} – Dnetworkaddress. cache. tt1= 30 - Dsun. net. inetaddr. ttl= 30 - Dnetworkaddress. 
cache.negative.ttl- 10" 


# # Alternative store 
T UVM_ARGS= "$ {UVM_ARGS} - Duvm.store.url= https: //store.untangle.can" 


# # Default Logging 
UM ARGS= "$ {UM ARGS} - Dlog4j.configuration- file:@ PREFIX@ /usr/share/untangle/conf/1094]- uvm.xml" 


# If inside the devel environment 
if [ "x" !="x@ PREFIX@" ] ; then 
# # Disable writing of networking config files 
UVM ARGS= "$ {UM ARGS} - Dum. devel .nonetworking= true" 


# 

# JAVA configuration 

# 

JAVA HOME- @ DEFAULT JAVAG HOMER 
JAVA OPTS- "" 

PATH= $ {JAVA_HOME}/bin:$ {PATH} 


# # Мах Heap Size 
JAVA_OPTS="$ (JAVA OPTS) – Хик (MAX HEAP SIZE)" 


176 * 


# #Min Heap Size 
JAVA _OPTS= "$ (JAVA ОРТ} — Xms128m" 


+ # Throughput Garbarge collector 
# JAVA_OPTS= "5 (JAVA OPTS) - XX:+ UseParallelGC – XX:GCTimeRatio= 6" 


# # Concurrent Garbarge collector 
JAVA_OPTS="$ (JAVA OPTS) — XX:+ UseConcMarkSweepGc – XX:+ CMSIncrementalMpde - XX:+ CMSIncrementalPacing 
= XX:CvS Incremental DutyCyclemin= 10 - XX:CMSIncrementalDutyCycle= 50 – XX:CvSIncrementalsafetyFactor= 90" 


# # Garbage collector 

JAVA_OPTS= "$ (JAVA OPTS) – Xloggc:$ UM GC 105 - XX:+ PrintGCDetails - XX:+ 
PrintGCDateStamps" 

+ # Garbage collector verbosity 


JAVA_OPTS="$ (JAVA OPTS) - verbose:gc" 


# # Server mode (optimizes code at startup) 
JAVA_OPTS="'$ {JAVA_OPTS} - server" 


if [ 'uname —m' (= 'x86 64' ]; then 

# # Stack size 

JAVA ОРТЅ- "$ (JAVA OPTS) - Xss96k" 
else 

+ # Stack size 

JAVA ОРТЅ= "$ {JAVA_OPTS} - Xss192k" 
fi 


# If inside the devel environment 
if [ "x" !="x@ PREFIX@" ] ; then 

# # Enable assertions 

JAVA ОРТЅ= "$ (JAVA OPTS) - ea" 


# 

# СЕМ configuration 

# 

if [- f @ PREFIXE /etc/untangle/oen/oem.sh ] ; then 
Source @ PREFIX@ /etc/untangle/oem/oem. sh. 

else 


e у у ЖЕ. 


СЕМ NAME- "Untangle" 
fi 
uvm-lib 中 ,localapi 目录 下 的 com. untangle. uvm. vnet. AbstractNode. java 是 UVM 
所 有 应 用 组 件 主 类 的 基 类 ,其 要 求 子 类 实现 getPipeSpecs 方法 ,每 个 PipeSpec 都 包含 管道 
接 人 方式 和 会 话 事件 处 理 类 ( 基 类 为 com. untangle. uvm. vnet. AbstractEventHandler) 。 


21.1.3 Filter Node 代码 结构 


Filter Node 模块 通过 getPipeSpecs 方法 返回 长 度 大 于 0 的 PipeSpec 对 象 数 组 ,实现 对 
应 数量 的 会 话 事件 处 理 类 。 代 表 模 块 有 Firewall、Anti-Spyware、Protofilter 等 。 

Filter Node 模块 代码 目录 主要 包括 api、impl、hier。 其 中 api 和 impl 以 Java 代码 实现 。 

api 目录 中 为 应 用 组 件 需要 用 到 的 数据 结构 ,以 及 对 外 接口 的 调用 接口 。 重 要 的 数据 结 
构 包 括 组 件 的 配置 类 和 事件 类 ,它们 通过 hibernate 持久 化 到 数据 库 中 (PostgreSQL) арі/ 
resources/ MET A-INF/annotated-classes 文件 中 ,描述 了 该 组 件 要 持久 化 的 类 名 。 

impl 目录 中 为 应 用 组 件 的 具体 实现 ,主要 包括 主 类 和 会 话 事件 处 理 类 。 包 括 介 入 网 流 
会 话 处 理 的 安全 类 模块 和 不 介入 网 流 处 理 的 服务 类 模块 。 

hier 目录 中 为 untangle-vm 之 外 的 系统 功能 文件 如 下 。 

(1) 为 组 件 配 置 在 数据 库 中 对 应 表 的 创建 SQL 语句 脚本 。 


src/<node- name» /hier/usr/share/untangle/schema/ * .sql 

(2) 生成 每 日 报告 的 python 脚本 。 

Src/«node- name> /hier/usr/lib/python2.5/reports/node/ * .py 

(3) 网 页 管理 配置 页 面 的 js 脚本 。 

src\<node- name> \hier\usr\share\untangle\web\webui \ script \ untangle- node- <name>\settings.js 
(4) Untangle 命令 行 管理 工具 UCLI( Untangle Command Line Input) 管 理 脚本 。 


src\<node- name>NhierNusrVshareVuntangleVnuc1i.rb 


21.2 Untangle 开发 环境 


21.2.1 虚拟 化 系统 开发 调试 环境 


基于 虚拟 机 开发 调试 环境 可 以 免 去 物理 主机 安装 的 问题 。 测 试 Untangle 系统 ,建议 采 
用 虚拟 机 的 方法 ,配置 虚拟 化 网 络 , 在 虚拟 化 网 络 中 进行 测试 ,避免 物理 安装 的 各 种 不 足 。 
以 VMware 公司 VMware Workstation 21. 0 专业 虚拟 机 软件 为 例 ,可 以 虚拟 现 有 任何 操作 
系统 ,而 且 使 用 简单 ,方便 组 建 一 个 局 域 网 内 多 台 主 机 的 实验 。 图 21-2 给 出 了 VMware 的 
虚拟 网 络 配 置 图 。 

为 了 进行 Untangle 系统 的 开发 ,比较 方便 快捷 的 方式 是 采用 虚拟 网 络 。 有 必要 了 解 一 
下 虚拟 机 的 虚拟 网 络 配置 。VMware 虚拟 机 主要 包括 虚拟 机 、 真 实 主机 以 及 其 他 的 虚拟 机 
进行 通信 。 通 信 分 两 部 分 ,一 个 是 局 域 网 内 的 , 另 一 个 是 连接 到 公 网 的 。VMware 虚拟 机 主 
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图 21-2 VMware 虚拟 主机 配置 图 


要 有 三 种 不 同 模式 。 

1. 直接 桥接 模式 

直接 桥接 模式 拓扑 图 如 图 21-3 所 示 。 

如 果真 实 主机 在 一 个 以 太 网 中 ,直接 桥接 模式 是 将 虚拟 机 接 入 网 络 最 简单 的 方法 。 虚 
拟 机 就 像 一 个 新 增加 的 .与 真实 主机 有 着 同等 物理 地 位 的 一 台 计 算 机 ,桥接 模式 可 以 享受 所 
有 可 用 的 服务 ,包括 文件 服务 .打印 服务 等 。 

2. Host-only 模式 

Host-only 模式 拓扑 图 如 图 21-4 所 示 。 


真实 主机 DHCP Server 
Prot 1 | Prot 2 | vMnet 0 Prot 0 | Prot 1 | Prot 2 | ума 
虚拟 机 虚拟 机 
图 21-3 直接 桥接 模式 拓扑 图 图 21-4 Host-only 模式 拓扑 图 


Host-only 模式 用 来 建立 隔离 的 虚拟 机 环境 ,在 这 种 模式 下 ,虚拟 机 与 真实 主机 通过 虚 
拟 私有 网 络 进行 连接 ,只 有 同 为 Host-only 模式 下 的 且 在 一 个 虚拟 交换 机 (vSwitch) 的 连接 
下 才 可 以 互相 访问 ,外 界 无 法 访问 。Host-only 模式 只 能 使 用 私有 IP 地 址 ,IP 地 址 、 网 关 ， 
域名 解析 服务 都 由 VMnet 1 来 分 配 。 

3. NAT 模式 

NAT 模式 拓扑 图 如 图 21-5 Bron 。 
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NAT(Network Address Translation) 模 式 使 真实 主机 DHCP Server 
虚拟 机 直接 连接 到 公 网 最 方便 ,缺点 是 桥接 模式 
下 的 其 他 功能 都 不 能 享用 。 凡 是 选用 NAT 结构 ta Ma isses 
的 虚拟 机 , 均 由 V Mnet 8 提供 IP 地 址 、 网 关 、 域 名 МАТ ЩЙ 
解析 。 图 21-5 NAT 模式 拓扑 图 

4. 虚拟 网 络 设置 


使 用 VM 的 高 度 可 扩展 网 络 模型 组 建 非常 复杂 的 局 域 网 ,可 以 进行 Untangle 在 复杂 
网 络 环境 下 的 测试 。 

图 21-6 所 示 为 采用 VMware Workstation 自 带 的 Virtual Network Editor 进行 虚拟 机 
之 间 网 络 配置 的 例子 。 


‘Summary | Automatic Bridging | Host Vitual Network Mapping | Host Vitual Adapters | DHCP | NAT | 


Here is a summary of your virtual networks. Use the other pages of this editor to change the 
settings of your networks, add and remove adapters and more. 


x 192168.520 Елак 
192.168.1990 Елак 


BI 21-6 Virtual Network Editor 


下 面 给 出 了 基于 VMware 的 Untangle 机 器 和 两 台 Ubuntu 机 器 的 连接 的 拓扑 实例 , 定 
X f VMnet 8 用 于 外 网 的 NAT 模式 ,当然 也 可 以 直接 采用 桥接 模式 ,模拟 Untangle 机 器 
的 外 网 环境 , VMnet 2 用 于 Untangle 机 器 的 内 网 环境 , Ubuntu 机 器 的 IP 地 址 都 是 从 
Untangle 机 器 进行 分 配 的 。 

典型 的 Untangle 虚拟 开发 环境 如 图 21-7 所 示 。 


21.2.2 Untangle 源 代码 开发 环境 


源 代码 开发 环境 主要 是 代码 阅读 和 代码 修改 。 可 以 采用 Sourcelnsight、 Eclipse, 
UltraEdit, EditPlus, Emacs, Vim 等 。 这 里 推荐 使 用 SourceInsight, 综 合 能 力 比 较 强 ,适合 
整个 代码 树 的 阅读 。 尽 管 在 查找 方面 不 如 前 面 UltraEdit 好 用 。Eclipse 对 于 Java 代码 阅 
读 与 开发 比较 适用 。 

在 Eclipse 中 建立 Untangle 的 开发 环境 ,Eclipse 可 采用 Indigo, Helios 和 Galileo, 

(1) 把 Eclipse 的 workspace 选择 到 src 目录 。 

(2) 打开 工程 的 Properties 窗口 。 

(3) 建立 uvm-lib 的 Java Project, 把 以 下 目录 加 入 为 Source( 可 选 : 在 每 个 Source 
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真实 主机 DHCP Server] 
VMnet 8 VMnct 2 
Internet NAT 模 式 Custom 模 式 
саана) | 
Prot0 | Prot! | Prot2 |VMnct 8 Prot0 | Prot] | Prot2 |VMnct2 
| 
虚拟 网 卡 1 [ema] | 虚拟 网 卡 1 虚拟 网 卡 1 
Untangle 7.3 Ubuntu 10.04 Ubuntu 10.04 


图 21-7 Untangle 虚拟 开发 环境 


Folder 的 Exclude ДП À * * /. svn/ * ,把 svn 的 文件 排除 在 外 ,使 编译 时 不 会 把 svn 文件 复 
制 进 bin 目录 ), 如 图 21-8 所 示 。 


@ Source 

Source folders on build path: 
> @ uvm-lib/api 
> @8 uvm-lib/bootstrap 
> @8 uvm-lib/impl 
> @8 uvm-lib/localapi 
> 9 uvm-lib/serviets/alpaca/src 
> 9 uvm-lib/servlets/library/src 
> @8 uvm-lib/servlets/reports/src 
> @ uvm-lib/servlets/setup/src 
> @® uvm-lib/servlets/webui/src 
> 28 uvm-lib/taglib 


Allow output folders for source folders 
Default output folder: 


uvm-lib/bin 


图 21-8 Source 选项 卡 


(4) 在 Libraries 选项 卡 中 选择 刚刚 建立 的 uvm, JE. uvm-lib/lib/ 里 的 所 有 jar 添加 到 其 
中 ,连续 单 击 “ 确 认 ” 按 钮 。 

(5) uvm-lib 工程 应 该 就 没有 红 又 了 。 

(6) 建立 其 他 java project, 如 Firewall。 

(7) 把 Java 工程 中 的 api 和 impl 加 入 为 Source Folder( 如 前 ) 。 

(8) 在 Libraries 选项 卡 中 , 单 击 Add Library 按钮 ,选择 刚刚 建立 的 uvm, 如 图 21-9 
所 示 。 

(9) 在 Library 选项 卡 中 , 单 击 Add Class Folder 按钮 ,选择 uvm-lib/bin 即 可 ,如 图 21-10 
所 示 。 

某 些 node XX Project 还 需要 依赖 其 他 工程 的 编译 结果 ,例如 : 

clam-base 依赖 virus-base/ bin。 
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BÀ Libraries 


JARs and class folders on the build path: 
@® uvm-lib/bin (class folder) (Add JARs. | 
BA JRE System Library [jdk1.7.0] 

al om [Ada External ars] 


Edit... 


Migrate JAR File... 


图 21-9 Libraries 选项 卡 


User libraries can be added to a Java Build path and bundle a number of 


> @ activationjar - uvm-lib/lib 

> Ë antjar - uvm-lib/lib 

» Ë antlr-2.7.6jar - uvm-lib/lib 

> @ asmjar - uvm-lib/lib 

> Ë bcel-5.2jar - uvm-lib/lib 

> Ë c3p0-0.9.0Ajar - uvm-lib/lib 

> Ë catalinajar - uvm-lib/lib 

> 8 catalina-optionaljar - uvm-lib/lib 

> Ë cglib-2.1.3jar - uvm-lib/lib 

> commons-codec-1.3 jar - uvm-lib/lib 

> @ commons-collections-2.1.1jar - uvm-lib/lib 
> @ commons-eljar - uvm-lib/lib 

> @ commons-fileupload-1.1 jar - uvm-lib/lib 
> @ commons-httpclient-3.0jar - uvm-lib/lib 


> @ commons-io-Lljar - uvm-lib/lib 


图 21-10 选择 urm-liblbin 


clam 依赖 virus-base/bin 和 clam-base/bin 。 
phish 依赖 spamassassin/bin,spam-base/bin 和 clam-base/bin。 
spamassassin 依赖 spam/ bin。 


webfilter 依赖 webfilter-base/ bin。 


21.3 Untangle 源 代码 编译 链接 框架 


21.3.1 Untangle 源 代码 编译 环境 


参见 wiki build the code。 
(1) 安装 Untangle 系统 。 
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(2) 使 用 默认 密码 passwd 登录 http://localhost/alpaca, 配 置 外 部 接口 。 

(3) 启用 ssh( 删 除 /etc/ssh/sshd_not_to_be_run, 运 行 '$ /etc/init. d/ssh start", 
(4) 通过 终端 登录 ,ssh 连接 root@ip. addr. 

(5) 删除 某 些 Untangle 核心 包 。 


$ apt- get - - purge - - yes remove untangle- vm 


(6) 重 配置 debconf ,选择 Dialog 作为 接口 ,其 他 设置 为 默认 值 。 


$ dpkg- reconfigure debconf 
(7) 安装 untangle-development 包 。 


$ apt- get update 

$ apt- get - – yes install untangle- develgament- build 

(8) 获取 代码 。 

源 代码 在 svn;//svn. untangle. com/trunk 下 面 。 


$ svn coswn://sn.untangle.cmv/trunk 


最 新 的 源 代码 在 http:// gitorious. org/untangle 下 面 。 命 名 自己 的 clone 版 本 为 src- 
yours ,使 用 以 下 命令 生成 自己 命名 的 自 有 版 本 : 


$ git clone git@ gitorious.org:untangle/src- yours.git 


(9) 贡献 代码 和 修改 。 

使 用 Gitorious 接口 ,生成 merge 请 求 。 

(10) 匿名 cloning, 

匿名 cloning 代码 库 ( 用 于 测试 ) 采 用 以 下 命令 : 


$ git clone git://gitorious.org/untangle/src.git 


21.3.2 Untangle 源 代码 编译 方法 


编译 在 Untangle 源码 包 src 目录 下 进行 ,src 目录 下 有 如 下 内 容 。 
(1) buildtools/: 系统 编译 时 用 到 的 脚本 和 库 。 

(2) rakefile; 主要 ruby makefile 文件 。 

(3) < сотропепі2>-пате: 每 个 Node Casing #1 Component 的 目录 。 
(4) prj.el: Emacs JDEE 项 目 文件 。 

(5) Gx ; GNU 全 局 标签 文件 (Global Tag Files). 

编译 过 程 生成 如 下 产物 。 

CD dist/: 开发 编译 的 结果 ,安装 系统 的 镜像 。 

(2) staging/: 编译 生成 的 类 和 其 他 预 编译 的 产物 artifacts. 

(3) taskstamps. txt; 编译 目标 的 时 戳 文 件 。 

编译 分 为 直接 编译 和 软件 包 编 译 两 种 。 


1. 直接 编译 

在 src 目录 运行 rake. Untangle 将 被 编译 到 src/dist 里 ,dist 中 包含 etc, var. usr, tmp 
等 目录 ,与 根 目 录 结 构 一 致 ,可 在 src 目录 通过 运行 . /dist/etc/init. d/untangle-vm start 来 
启动 Untangle 服务 。 

实际 编译 过 程 相对 简单 ,进入 到 需要 编译 的 src Н ж: 


$ rake 


如 果 编 译 成 功 ,在 开发 编译 生成 的 系统 将 安装 在 dist 目录 ,直接 启动 untangle-vm 
即 可 。 


$ sudo ./dist/etc/init.d/untangle- vm start 


此 方法 较 快 捷 , 适 用 于 开发 阶段 。 

若 编译 中 提示 找 不 到 包 ,可 以 尝试 运行 export SRC_HOME=. ,再 进行 编译 。 

2. 软件 包 编 译 

在 src 目录 运行 debuild -us -uc -d, 将 Untangle 各 软件 包 编译 为 deb 包 , 可 用 于 定形 后 
的 软件 包 生 成 。 


$ apt- get build- dep untangle- vm 
$ debuild -us - uc 


生成 的 deb 包 将 出 现在 上 级 目录 (.. ) 中 ,可 用 以 下 命令 进行 安装 : 
$ dpkg -i ../untangle- * deb 


21.3.3 Untangle 源 代码 编译 过 程 


源 代码 untangle/src/ 目 录 编 译 采用 rake(ruby make) 文 件 来 指导 编译 过 程 。rake 替换 
了 Linux make 系统 ,untangle/src/rakefile 相当 于 makefile 文件 的 作用 。 

主要 调用 了 untangle/src/buildtools/ * .rb, 包 括 buildtools. rb、rake-util. rb, node. rb, 
untangle-core. rb。 辅 助 的 rb 文件 还 有 stamp-task. rb、c-compiler. rb jars. rb, target. rb, 

顺序 是 rakefile>buildtools. rb— node. rb>untangle-core. rb. 

其 中 buildtools. rb 中 检查 src/downloads/. 如果 不 是 cleanbuild, 将 重新 编译 src/ 
downloads/ * . tar 文件 ,并 转移 到 /usr/share/java/uvm/ 中 。 

调用 rake 命令 过 程 中 ,会 执行 每 个 node 下 (如 untangle/src/clam) 的 package. rb 写 的 
编译 文件 ,调用 untangle/src/buildtools/node. rb 中 的 函数 库 。 

node. rb 中 对 每 个 node 下 的 文件 夹 , 按 照 如 下 顺序 localapi>impl— api po hier Ж 
行 处 理 。 

编译 过 程 中 ,生成 untangle/src/staging, 其 中 的 grabbag 用 于 存储 jar 文件 ,include A 
录用 来 存放 头 文件 。 

W\sre\buildtools\untangle-core. rb 文件 为 例 说 明 : 


# # Require all of the sub packages. 
# # Done manually because order matters. 
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# # XXX Could create a new helper method that sets a prefix directory before 
d # calling require and then unsets it afterwards. 
require "# {SRC_HOMB}/Libmvutil /package.1b" 
require "# {SRC_HOMB}/Libnetcap/package.1rb" 
require "# {SRC_HOME}/Libvector/package.rb" 
require "# {SRC_HOME}/jmvutil /package.1b" 
require "# (SRC НОМЕ} /jnetcap/package. rio" 
require "# (SRC НОМЕ} /jvector/package. rio" 
require "4 (SRC НОМЕ} /nfutil/package.rb" 

require "# (SRC HOME) /uum/package .rb" 

require "Ф {SRC_HOME}/uvm- lib/package.rb" 


require "# (SRC HOME) /test/package.rb" 
require "# (SRC HOME] /reporting/package.rb" 
require "# (SRC HOME) /ftp- casing/package .rb" 
require "# (SRC НОМЕ) /http- casing/package. rb" 
require "f {SRC_HOME}/mail- casing/package.rb" 
require "# (SRC HOME) /spyware/package .rb" 
require "# (SRC HOME) /router/package. rio" 


require "# (SRC HOME) /shield/package.rb" 
require "# (SRC НОМЕ) /firewall/package.rb" 
require "# (SRC HOME) /openvpn/packaqe.rb" 
require "# (SRC НОМЕ) /protofi 1ter/package.rb" 
require "f (SRC HOME) /sigra/package. rb" 
require "f (SRC HOME) /ips/package.rb" 


# 4 Base Nodes 

require "# (SRC HOME] /spam- base/package.rb" 
require "# (SRC HOME) /virus- base/package .rb"" 
require "# (SRC НОМЕ) /Clam- base/package.rb" 
require "# (SRC HOME) /webfilter- base/package.rb" 


# 4 SPAM based nodes 
require "# (SRC HOME) /phish/package.rb" 
require "Ч (SRC НОМЕ) /sparassassin/package. rb" 


+ # Webfilter based nodes 
require "# (SRC HOME) /webfilter/package.rb" 


# Ad Blocker node 
require "# (SRC HOME) /adolocker/package .rb" 


# # Virus based nodes 
require "# {SRC_HOME}/clam/package.rb" 
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# # Other packages 
require "# {SRC_HOMB}/util /package.1b" 


# # sniffer node 
require "# {SRC_HOMB}/sniffer/package.1b" 


# # collaborator node 
require "# {SRC_HOME}/col laborator/package.rb" 


# # softprotect node 
require "# {SRC_HOME}/softprotect /package.1b" 


+ # softbypass node 
require 啡 {SRC_HOME}/softbypass/package . rb" 


+ # watchdog node 
require "# (SRC HOME) /watchdog/package . rb" 


wlibs- [] 
libumoore so "4 {BuildEnv: :SRC.staging}/Libuvmoore.so" 
archives= ['libmvutil', 'libnetcap', 'libvector', 'jmvutil', 'jnetcap', 'jvector'] 


+ 4 Маке the so dependent on each archive 
archives.each do |n] 

file libuvmcore so = >BuildEnv: :SRC[n] ['archive'] 
end 


file libuvmcore so do 
compilerEnv= Corpi lerEnv.new ( { "flags" = >" pthread 
# {CCompilerfnv. 
defaultDebugFlags]" } ) 
archivesFiles- archives.map { |n| Buildenv: :SRC[n] ['archive'] .filenare } 


CBuilder.new(BuildEnv: :SRC, compilerEnv) .makeSharedLibrary (archivesFiles, libuvmcore so, 
п, 
['xml2', 'sysfs', 'netfilter queve', 'netfilter conntrack'], wlibs) 
end 


BuildEnv::SRC['untangle- libuvm'] ['impl'].register dependency (libuwmcore so) 


BuildEnv::SRC.installTarget.install files(libuwmore so, 

啡 (Bui ldEnv: :58С[ 'untangle- libuwmcore'] .distDirectory}/usr/lib/uvm") 

Untangle 中 的 6 个 C 代码 库 文 件 为 libnetcap libmvutil,libvector 和 jnetcap,jmvutil, 
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jvector ,最 后 编译 为 libuvmcore. so, 
deb 包 编 译 过 程 由 debian control 文件 确定 , 见 /untangle/src/debian/control 文件 : 


Source: untangle- vm 

Section: net 

Priority: optional 

Maintainer: Sebastien Delafond <seb@ untangle.coni» 
Uploaders: Untangle Buildbot <buildbote untangle.cam> 
Build- Depends: untangle- development- build 
Standards- Version: 3.8.0 


Package: untangle- libuwmcore 

Architecture: 1386 amd64 

Depends: $ {misc: Depends}, libc6 (>= 2.3.2), untangle- libnetfilter- queued (>= 0.0.15), 
libsysfsl | libsysfs2, libnetfilter- conntrackl (> = 0.0.81) | untangle- libnetfilter- 
conntrackl (>= 0.0.81) 

XB- Display- Name: Untangle Core Library 

XB- Untangle- Pkg- Type: library 

XB- Desc- Icon:  XXXXXX 

Description: Untangle Core Library 

Untangle Core Library files. 


Package: untangle- casing- ftp 

Architecture: all 

Depends: untangle- Libuvm 

XB- Display- Name: File Transfer Casing 

XB- Untangle- Pkg- Type: casing 

XB- Desc- Icon: XXXXXX 

Description: The Untangle File Transfer/FTP Deooder 
The Untangle File Transfer/FTP Decoder casing. 


Package: untangle- casing- http 

Architecture: all 

Depends: untangle- libum 

XB- Display- Name: Web Casing 

XB- Untangle- Pkg- Type: casing 

XB- Desc- Icon: XXXXXX 

Description: The Untangle Web Decoder 
The Untangle Web Decoder casing. 


Package: untangle- casing- mail 
Architecture: all 
Depends: untangle- libum 
XB- Display- Name: Email Casing 
XB- Untangle- Pkg- Type: casing 
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XB- Desc- Icon: XXXXXX 
Description: The Untangle Email Decoder 
The Untangle Email Decoder casing. 


Package: untangle- node- shield 
Architecture: all 
Depends: untangle- vm, untangle- shield, dash 
XB- Display- Name: Attack Blocker 
XB- Untangle- Pkg- Type: service 
XB- View- Position: 1020 
XB- Desc- Icon: XXXXXX 
Description: Attack Blocker 
The Attack Blocker application. 


Package: untangle- node- spyware 
Architecture: all 
Depends: untangle- wm, untangle- casing- http 
XB- Display- Name: Spyware Blocker 
XB- View- Position: 20 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
Description: Spyware Blocker 
The Spyware Blocker application. 


Package: untangle- node- webfilter 
Architecture: all 
Depends: untangle- vm, untangle- casing- http, untangle- base- webfilter, 
untangle- webfilter- init 
XB- Display- Name: Web Filter 
XB- View- Position: 30 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
Description: Web Filter 
The Web Filter application. 


Package: untangle- node- clam 
Architecture: all 
Depends: untangle- vm, untangle- base- virus, untangle- clamav- config, untangle- casing- http, untangle- 
casing- ftp, untangle- casing- mail 
XB- Display- Name: Virus Blocker 
XB- View- Position: 70 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
Description: Virus Blocker 
The Virus Blocker applicaticn. 
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Package: untangle- node- protofilter 
Architecture: all 
Depends: untangle- um 
XB- Display- Name: Protocol Control 
XB- View- Fosition: 80 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
Description: Protocol Control 
The Protocol Control application. 


Package: untangle- node- router 
Architecture: all 
Depends: untangle- wm, dnsmasq, untangle- casing- ftp 
XB- Display- Name: Router 
XB- View- Position: 1000 
XB- Auto- Start: true 
XB- Invisible: true 
XB- Untangle- Pkg- Type: service 
XB- Desc- Icon: XXXXXX 
Description: Router 

The Router application. 


Package: untangle- node- firewall 
Architecture: all 
Depends: untangle- vm 
XB- Display- Name: Firewall 
XB- View- Position: 90 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
Description: Firewall 
The Firewall application. 


Package: untangle- node- spamassassin 

Architecture: all 

Depends: untangle- vm, untangle- base- spam, untangle- casing- mail 
XB- Display- Name: Spam Blocker 

XB- View- Position: 15 

XB- Untangle- Pkg- Type: node 

XB- Desc- Icon: XXXXXX 

Description: Spam Blocker 


Package: untangle- node- phish 
Architecture: all 
Depends: untangle- vm, untangle- base- spam, untangle- clamav- config, 


untangle- casing- mail, untangle- casing- http 
XB- Display- Name: Phish Blocker 
XB- View- Position: 17 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
Description: Phish Blocker 
The Phish Blocker application. 


Package: untangle- node- openvpn 
Architecture: all 
Depends: untangle- vm, untangle- nsis- addons, openssl, openvpn 
XB- Display- Name: OperVEN 
XB- View- Position: 1019 
XB- Untangle- Pkg- Type: service 
XB- Desc- Icon: XXXXXX 
Description: OpenVEN 
The QpenVEN application. 


Package: untangle- node- ips 
Architecture: all 
Depends: untangle- vm, untangle- casing- http, untangle- snort- rules 
XB- Display- Name: Intrusion Prevention 
XB- View- Position: 75 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
Description: Intrusion Prevention 
The Intrusion Prevention application. 


Package: untangle- node- reporting 
Architecture: all 

Depends: untangle- vm 

XB- Display- Name: Reports 

XB- View- Position: 1022 

XB- Untangle- Pkg- Type: service 
XB- Desc- Icon: XXXXXX 
Description: Reports 


Package: untangle- node- adblocker 
Architecture: all 
Depends: untangle- vm, untangle- casing- http 
XB- Display- Name: Ad Blocker 
XB- View- Position: 120 
XB- Untangle- Pkg- Type: node 
XB- Desc- Icon: XXXXXX 
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Description: Ad Blocker 


Package: untangle- node- qd 
Architecture: all 
Depends: untangle- vm, untangle- срд, php5- розой, php5- curl 
XB- Display- Name: Captive Portal 
XB- View- Position: 31 
XB- Untangle- Pkg- Type: serviœ 
XB- Desc- Icon: XXXXXX 
Description: Captive Portal 
The Captive Portal. 


Package: untangle- base- virus 
Architecture: all 
Depends: untangle- libuvwm, untangle- casing- http, untangle- casing- mail 
XB- Display- Name: Virus Blocker Base 
XB- Untangle- Pkg- Type: base 
XB- Desc- Icon: XXXXXX 
Description: Virus Blocker Base 
The Virus Blocker Base. 


Package: untangle- base- spam 
Architecture: all 
Depends: untangle- vm, untangle- spamassassin- update, untangle- casing- mail 
XB- Display- Name: Spam Blocker Base 
XB- Untangle- Pkg- Type: base 
XB- Desc- Icon: XXXXXX 
Description: Spam Blocker Base 
The Spam Blocker Base. 


Package: untangle- base- webfilter 
Architecture: all 
Depends: untangle- libuvm, untangle- casing- http 
XB- Display- Name: WebFilter Base 
XB- Untangle- Pkg- Type: base 
XB- Desc- Icon: XXXXXX 
Description: WebFilter Base 
The WebFilter Base. 


Package: untangle- Libuvmthirdparty 

Architecture: all 

Depends: sun- javaé- jre 

Conflicts: mm (««5.0), libuvm thirdparty, Шотт thirdparty 
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Provides: libuvm- thirdparty 
Replaces: libuvm- thirdparty 
XB- Display- Name: Platform Thirdparty Libraries 
XB- Untangle- Pkg- Type: library 
XB- Desc- Icon: XXXXXX 
Description: Platform Thirdparty Libraries 
The Platform Thirdparty Libraries. 


Package: untangle- vm 
Architecture: all 
Depends: untangle- keyring, sun- java6- jdk, untangle- libuvm, untangle- libuvmcore, untangle 
= libuvmthirdparty, sudo, iptables (>= 1.3.6), db4.2- util, untangle- 
ujac2pdf, at, ebtables, mime- support, untangle- nsis- addons, dnsmasq, pppoe, bridge- utils, 
iputils- ping, curl, wget, sg3- utils, pciutils, libdbd- pg- ruby, rubyl.8, ruby, untangle- 
linux- image, exim4 - daemon- light | mail- transport- agent, gettext, libgettext - ruby, 
ethtool, net- tools, dnsutils, untangle- net- alpaca, untangle- node- router, untangle- ldap- 
server, libgpgme- ruby, dash, untangle- 
apache2- config (>>6.2), python- pycurl | python2.3- pycurl, libwww- mechanize- ruby, perl, 
untangle- vm- shell, zip, unzip, tofrodos, python- psycopg, python- egenix- 
mxdatetime, python- lxml, tidy, dpkg- dev, python- codespeak- lib, python- 
reportlab, python- imaging, untangle- hardware- config, untangle- monit- config, untangle- arp 
- eater, untangle- php- config 
Recommends: untangle- postgresql- config, untangle- gateway- light 
Provides: mvvm 
Conflicts: mvvm, untangle- restore- tools (<<5.1), untangle- linux- image- 2.6.16- 
ckll- untangle- prod- 486, untangle- linux- image- 2.6.16- ckl1- untangle- prod- xd- 
486, untangle- linux- image- 2.6.16- ckll- untangle- cd- 486, untangle- slapd, untangle- 
libldap- 2.2- 7, untangle- ldap- utils, untangle- client 
Replaces: mvvm 
XB- Display- Name: Platform 
XB- Untangle- Pkg- Type: library 
XB- Desc- Icon: XXXXXX 
Description: Platform 

The Platform. 


Package: untangle- libum 
Architecture: all 
Conflicts: untangle- wm (<<5.1) 
Depends: sun- java6- jre 
XB- Display- Name: Platform Libraries 
XB- Untangle- Pkg- Type: library 
XB- Desc- Icon: XXXXXX 
Description: Platform Libraries 

The Platform Libraries. 
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Package: untangle- buildutil 

Architecture: all 

Depends: sun- java6- jre 

Description: Platform Build Utils 
The Untangle Build Utils. 


develbuild 结果 放 在 untangle/src/dist/ A a F ifii 


21.4 Untangle 安全 应 用 Node 开发 


参见 Untangle wiki 的 Application Developers Guide。 
21.4.1 安全 应 用 Node 相关 技术 


本 节 为 在 Untangle 平台 上 编写 新 的 安全 应 用 (也 称 为 Node, 节 点 ) 提 供 指导 和 说 明 。 

在 Untangle 平台 上 提供 新 的 安全 应 用 ,可 以 快捷 地 进行 部 署 。 本 节 主 要 的 用 例 采 用 
Ad Blocker。Ad Blocker 代码 可 以 在 svn 服务 器 上 获取 。 

编写 新 的 安全 应 用 需要 熟悉 以 下 技术 ,包括 Linux, debian Java json .extjs 等 。 


21.4.2 安全 应 用 Node 分 类 


节点 或 应 用 有 两 种 类 型 : Filter Node 和 Service Node, 

Filter Node 位 于 rack 机 架 上 方 ,透明 处 理 网 络 流量 。 多 个 Filter Node 可 以 实例 化 在 
一 个 Untangle 服务 器 中 (每 机 架 ), 不 同 的 policy 可 以 基于 不 同 Filter Node 实现 。Ad 
Blocker 和 Web Filter 都 是 Filter Node 的 例子 。 

Service Node 位 于 rack 机 架 下 方 , 是 全 局 的 。 一 个 Untangle 服务 器 只 有 一 种 。 
OpenVPN 和 Remote Access Portal 都 是 Service Node 的 例子 。 

安全 应 用 的 选择 取决 于 选择 不 同 的 类 型 。 一 般 来 说 ,如 果 是 处 理 网 络 流量 的 应 用 ,用 
Filter Node 来 实现 。 如 果 应 用 是 全 局 的 或 提供 单一 服务 或 者 代表 Server 上 已 经 运行 的 服 
务 ,可 以 用 全 局 Service Node. 


21.4.3 安全 应 用 Node 源 代码 说 明 


在 编写 一 个 新 的 Node 时 ,需要 了 解 Node 的 整个 生命 周期 的 架构 和 含义 ,以 Ad 
Blocker 为 例 。Ad Blocker 源 代码 在 /src/adblocker 目录 下 。 

以 下 主要 以 Ad Blocker 为 例 ,解释 基本 开发 知识 。Service Node 与 之 差别 甚 少 。 

编译 系统 设计 主要 目的 是 为 了 帮助 以 标准 的 布局 来 创建 组 件 Node。 典 型 的 sre Node 
位 于 目录 src/<node_name>(4l src/adblocker) ,并 可 能 包含 如 下 的 基本 单元 。 

(1) package. rb: ruby make 的 编译 文件 ,用 于 rake 自动 编译 该 Node。 

(2) localapi: 仅 用 于 本 地 客户 端的 api» untangle-casing-http, untangle-casing-mail, 
untangle-casing-ftp node 和 libuvm 目录 有 。 对 于 绝 大 多 数 节 点 ,一 般 不 需要 。 

(3) api: 用 于 远程 或 本 地 客户 端的 api. 

(4) impl: 主要 实现 代码 。 


(5) Мег: 用 于 linux 文件 目录 ,该 文件 夹 包 含 节点 的 db 文件 .UI 显示 和 report 文件 。 
某 些 文件 通过 buildtools/rake-util. rb 的 filterset 进行 filtered. 

(6) servlets: 包含 与 该 组 件 相 关 的 serverlet。 如 对 应 WebFilter blocking pages 的 
servlet 就 在 该 目录 下 。 

(7) po: ро/ро 文件 包含 用 于 I18N 的 字符 串 键 值 。 

(8) unittest: 单元 测试 文件 unittest。 


21.4.4 安全 应 用 Node 编译 与 打包 


为 了 编译 ,新 的 节点 应 该 在 完整 的 src 目录 树 下 ,编译 系统 主要 用 于 编译 节点 使 之 遵循 
标准 的 布局 。 

Untangle 编译 系统 有 两 种 工作 模式 。 

CD 在 dist 目录 ,开发 者 编译 整个 源 代码 系统 ,这 样 可 以 在 开发 环境 中 直接 运行 开发 版 
本 ,验证 开发 功能 是 否 有 效 。 

(2) deb 包 编译 用 来 生成 可 以 用 apt-get/dpkg 安装 的 Debian 包 。 

开发 者 可 以 通过 以 上 两 种 方法 ,对 创建 的 安全 应 用 Node 进行 调试 和 测试 。 

1. 编译 文件 

package. rb 代码 负责 编译 相应 的 Node, 主 要 有 两 个 ruby 类 。 

(1) NodeBuilder: 该 ruby 类 用 于 编译 Node 源 代 码 

(2) ServletBuilder; 该 ruby 类 用 于 编译 与 Node 相关 的 Servlets 源 代码 。 

以 /src/AdBlocker 为 例 , 其 packge. rb 文件 如 下 : 

NodeBuillder makeNode (Bui 1cEnv: :SRC, 'untangle- node- adblocker', 'adblocker', 

[BuildEnv: :SRC["untangle- casing- http'] ['1ocalapi']]) 

以 /src/phish 为 例 ,其 packge. rb 文件 如 下 ; 

mail- BuildEnv::SRC['untangle- casing- mail'] 

http- Buildmv::SRC['untangle- casing- http'] 

spar BuildEnv: :SRC["untangle- base- spam" ] 

clam Bui ldEnv: :SRC [ 'untangle- base- clam'] 

phish- BuildEnv: :SRC["untangle- nod- phish'] 


NodeBuilder.makeNode (BuildEnv::SRC, 'untangle- node- phish', 'phish', 
[mail['localapi'], http['localapi']], 
0, { 'spam- base! =>spam, 'clam-base' =>clam }) 


deps- [http['1ocalapi'], phish['impl'], spam['impl']] 


ServletBuilder.new(phish, 'cam.untangle.node.phish.jsp', 
7 fphish/servlets/idblocker", [], 
dps, [], [BuildEnv::SERVIET COMMCN]) 
其 中 ,NodeBuilder. makeNode PALS BU ЛЕШЕ. 
第 一 个 参数 BuildEnv: :SRC, 用 于 引用 编译 环境 。 
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第 二 个 参数 ,用 于 定义 节点 的 名 字 。 

第 三 个 参数 ,用 于 指定 在 src 目录 下 adblocker 的 位 置 

最 后 参数 是 可 选 的 ,用 来 说 明 该 节点 的 依赖 性 。 在 adblocker 组 件 下 ,与 之 相关 的 是 
HTTP network stream。 对 于 adblocker, [Ki F http casing node 来 处 理 HTTP 流 。 对 于 
其 他 节点 ,此 项 为 空 。 

为 了 让 编译 系统 编译 该 package, 应 该 在 buildtools/untangle-core. rb 的 文件 加 入 引用 。 
由 于 Ad Blocker node 依赖 于 untangle-casing-http node, Ad Blocker node 应 该 在 HTTP 
Casing 之 后 编译 。 因 此 ,在 buildtools/untangle-core. rb 文件 中 ,加 入 : 


# Ad Blocker node 

require "f (SRC_HOME}/adblocker/package.1b" 

2. REM A Node 打包 

debian/control 文件 位 于 src/debian/control。 对 每 个 节点 ,需要 在 node 的 deb 包 的 
control fields 中 加 入 相应 字段 。 除 了 标准 的 control fields (Package、Architecture、 
Depends, Conflicts, Provides, Replaces, Description etc). 一 组 Untangle 特有 的 control 
fields 也 应 该 填写 (用 前 级 XB 表示 ) 。 

XB-Untangle-Pkg-Type: 包 类 型 可 为 node, casing, service, library, base, lib. item, 
trial, unknown, 

XB-Display-Name; node 的 显示 名 称 。 

XB-View-Position; 视图 位 置 (Apps 和 Rack 使 用 ) 。 

XB-Auto-Start: 指定 是 否 安装 后 即刻 自动 启动 。 

XB-Invisible: 指定 node 是 否 可 见 。 

XB-Desc-Icon; node/package icon 图 标 文 件 , 其 中 icon 是 42X42 的 png 文件 。 

使 用 base64 命令 来 创建 base64 编码 。 可 采用 如 下 命令 : 


# "саб icon.png | base64' 


21.4.5 安全 应 用 Node API 


Node API 应 该 提供 公有 的 运行 时 控制 方法 来 操作 实例 的 状态 ,可 用 性 (启用 /关闭 ) 
(Node Interface 的 一 部 分 ) 和 配置 Node Settings 的 方法 (Node Interface 的 一 部 分 ) 。 


package ccm.untangle.ncce.acblocker; 


import com.untangle.uvm. logging.EventManager; 
import cam.untangle.uvm.node.Node; 
import com.untangle.uvm.node.StringRule; 


public interface AdBlocker extends Node { 
/* ж 
* Allows the user interface to get a set of 
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<code>EventReposi tory</cade>s and <code>LogEivent<code>s 
* 
* @ retum the <code>EventManager</code>of the node 
*4 
EventManager«AdBlockerEvent»getEventManager () 7 


fw ж 

* @ retum the base settings for the Ad Blocker node 
*/ 

AdBlockerBaseSettings getBaseSettings (); 


/ж ж 
* Sets the base settings for the Ad Blocker node 

* 

* @ param baseSettings 

* / 

void setBaseSettings (AdBlockerBaseSettings baseSettings) ; 


/* + 
* Getter for the rules 
* 
* @param start index 
* @paran limit number of retum elements 
* @ param sortColumns column names that match Hibernate' s idea (basically the ' bean 
property name'), 
* prefixed by "+" or "-" to specified the sorting order: ascending respective 
descending. 
* 
* @ return list of filtered and sorted rules 
*/ 
List< StringRule> getRules(int start, int limit, String... sortColumns) ; 


/* ж 


* Setter for the rules 


* @ param added list of added rules 
* @ param deleted list of deleted rules specified by theirs ids 
* @ param modified list of modified rules 
*/ 
void updateRules (List« StringRule» added, List« Long» deleted, 
List< StringRule> modified) ; 


* Update all settings (base settings and lists) once, in a single transaction 
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* @ param baseSettings base settings for the Ad Blocker node 
* € param rules- list containing three lists for added, deleted and 
modified rules 
EF 
void updateAll (AdBlockerBaseSettings baseSettings, List[] rules); 


} 


1. 安全 应 用 NodeSettings API 

安全 应 用 NodeSettings API 包括 如 下 内 容 。 

1) NodeSettings 

NodeSettings API 属于 Node interface。 

NodeSettings API 在 NodeImpl class 类 中 实现 (如 AdBlockerImpl) 。 

每 个 node 有 一 个 新 的 BaseSettings class CH AdBlockerBaseSettings) ,包含 node 的 所 
有 设置 。 唯 一 的 不 同 之 处 是 BaseSettings class 只 保存 每 个 实际 list 的 长 度 ,而 非 实际 list 
本 身 。 

节点 的 属性 表格 的 填写 至 多 两 次 操作 完成 : 其 中 一 次 获取 BaseSettings, 另 一 次 获取 当 
前 tab 的 每 一 项 。 

2) Lists 

有 两 类 list: static 和 pageable。 

static lists 包含 如 下 内 容 

(1) ordered lists (如 firewall rules.policy rules) 。 

(2) unordered lists (如 即将 更 新 的 packages, 这 些 链表 不 会 进一步 增长 dynamic lists 
为 其 他 类 型 的 链表 

3) Static Lists 

用 accessor 来 获取 整个 list, 

对 于 ordered list, 返 回 的 list 也 是 有 序 的 。 

对 于 unordered list, 返 回 的 list 也 是 无 序 的 ,必须 由 client 来 排序 ,用 settor 来 设置 整 
个 list。 

4) Dynamic Lists 

由 hibernate 从 数据 库 中 实际 取得 ,由 服务 器 端的 server API 进行 排序 。 

Dynamic Lists 的 accessor 如 下 : 


List<StringRule>getRules (int start, int limit, String... sortColums); 


参数 包括 : 
起 始 索引 start index; 
limit 返回 elements 的 限制 数目 ; 


列 名 匹配 Hibernate 的 idea( 即 “bean 属性 名 ”) ,前 级 上 十 或 一 来 指定 
排序 的 顺序 : 升序 或 者 降序 。 
Dynamic Lists 的 settor 如 下 : 


sortColumns 
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void updateRules (List < StringRule> added, List < Long» deleted, List < StringRule > 
modified) ; 
参数 包括 : 
增加 的 element 由 client 端 创建 ,具有 null 型 Id. 
删除 的 elements 的 Id 由 它 原 有 的 Id 值 来 指定 。 
修改 的 elements 不 改变 Id。 


为 了 优化 ，base settings 和 list 的 更 新 可 由 一 次 transaction 来 完成 ,updateAll 方法 定 
义 如 下 : 


void updateA11 (AdBlockerBaseSettings baseSettings, List[] rules); 

参数 包括 : 

Ad Blocker node 的 base settings; 

对 于 每 个 动态 list. FH added deleted 和 modified elements 3 个 链表 Events 事件 ; 


Events API 允许 用 户 interface 来 获取 一 组 EventRepositorys 和 每 个 EventRepository 
对 应 的 LogEvents。 


EventManager<AdBlockerEvent>getEventManager () 7 


2. Resources 文件 

文件 夹 api/resources 包含 node 的 资源 文件 。 一 个 node 有 两 种 类 型 的 resource 文件 ， 
位 于 api/resources/META-INF 目录 下 。 

(1) annotated-classes: 包含 hibernate annotated api classes。 

(2) uvm-node. xml: 包含 node 配置 信息 。 

(3) node-desc: 定义 node 实例 的 属性 ,使 用 以 下 node-desc 单元 。 

(D single-instance: 仅 允许 单个 node 实例 。 

(©) classname: 该 node 的 实现 类 (如 сот. untangle. node. adblocker. AdBlockerImpl) 。 

(3 node-base: 如 果 node 是 某 个 基 类 node 的 继承 , 则 该 属性 标识 该 基 类 node. 

(D power-button: 指定 安装 的 node 是 否 有 开关 按钮 。 

©) no-start: 指定 安装 的 node 是 否 需 要 启动 。 

(4) parent: 用 于 说 明 node 之 间 的 依赖 关系 (如 casing 依赖 ) 。 

(5) uvm-resource: 指定 输出 给 UVM 的 jar 文件 。 


21.4.6 安全 应 用 Node 实现 


fii Р <nodePackageName> /impl 文件 夹 中 ,提供 运行 时 控制 方法 的 实现 (操作 实例 的 
状态 ) 和 配置 节点 的 settings 方法 。 


public class AdBlockerImpl extends AbstractNode implements AdBlocker 
1, 安全 应 用 Node 实现 过 程 
1) 设置 的 加 载 和 保存 


NodeImpl class 中 应 该 有 一 份 缓存 的 设置 实例 : 
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private AdBlockerSettings settings- null; 
初始 设置 由 initializeSettings 方法 来 创建 和 保存 ,该 方法 在 node 创建 时 调用 。 


public void initializeSettings() { 
AdBlockerSettings settings- new AdBlockerSettings (getTid()); 


logger. info ("Loading Filters..."); 
Set<StringRule>nuileSet= RulesLoader. loadRules () ; 
settings .setRules (nileSet) ; 


setAdBlockerSettings (settings) ; 
logger.info (ruleSet.size()* " filters loaded"); 
) 


这 些 设置 应 该 通过 postInit method 从 数据 库 中 加 载 。 在 节点 启动 之 前 ,该 方法 在 节点 
实例 创建 时 调用 。 


protected void postInit (String[] args) throws NodeExoeption { 
logger.info ("Post init"); 
queryDBForSettings () ; 


reconfigure () ; 
} 


postInit 是 Node 生命 周期 中 的 一 个 方法 。 关 于 生命 周期 方法 的 更 多 细节 ,请 参考 
Node 的 Interface 类 和 AbstractNode 类 

采用 TransactionWork 来 执行 所 有 数据 库 操作 ,TransactionWork 封装 了 一 个 工作 单 
元 在 Hibernate transaction 中 执行 。 


private void queryDBForSettings() { 
TransactionWork tw- new TransactionWork () 
{ 
public boolean doWork (Session s) 
t 
Query q= s. createQuery ("from AdBlockerSettings abs where abs. tid= : 
tig"); 
q.setParameter ("tid", getTid()); 
(@cBlockerSettings) q.uniqueResult () 7 
retum true; 


public Qbject getResult() ( retum null; } 
J 
getNodeContext () .runTransaction (tw) ; 
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通过 访问 实例 的 缓存 设置 来 获取 设置 和 基本 设置 (以 AdBlockerSettings 和 AdBlock- 
erBaseSettings 为 例 ) : 
public AdBlockerBaseSettings getBaseSettings() { 
retum settings.getBaseSettings () + 
H 


AdBlockerSettings getSettings() { 
retum settings; 
} 
更 新 设置 和 基本 设置 之 前 ,应 该 先 在 数据 库 中 持久 化 改变 ,并 且 更 新 相应 的 缓存 设置 
实例 : 
public void setBaseSettings (final AdBlockerBaseSettings baseSettings) { 
TransactionWork tw-new TransactionWork() { 
public boolean doWork (Session s) ( 
settings.setBaseSettings (baseSettings) ; 
settings- (AdBlockerSettings) s .merge (settings); 
return true; 


public Object getResult() ( 
retum null; 


J; 
getNodeContext () .runTransaction (tw) ; 

) 

private void setAdBlockerSettings (final AdBlockerSettings settings) { 
TransactionWork tw- new TransactionWork () 


{ 
public boolean doWork (Session s) 
{ 
(AdBlockerSettings)s.merge (settings); 
return true; 


public Object getResult() { retum null; } 
J 
getNodeContext () .runTransaction (tw) ; 


reconfigure () ; 
H 
获取 /更 新 Node 的 lists. AJ HH PartialListUtil 的 helper class 来 完成 ,如 下 所 示 。 
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private final PartiallistUtil listUtil- new PartiallistUtil (); 


获取 绝 大 多 数 的 dynamic lists. 可 由 PartialListUtil. getItemsO AY helper 方法 来 完成 ， 
如 下 所 示 : 


public List<StringRule>getRules (int start, int limit, String... sortColums) { 
retum listUtil.getItems( 
"select hbs.rules frm AdBlockerSettings hbs where hbs.tid =? :tid ", 
getNodeContext (), getTid(), start, limit, sortColums); 
} 


更 新 node AY lists, 可 由 PartialListUtil. updateCachedItems() 的 helper 方法 来 完成 。 
这 将 更 新 缓存 设置 ,其 中 包括 list 的 改变 ,接着 将 缓存 设置 持久 化 到 数据 库 中 。 
@ Override 
public void updateRules (List<StringRule>added, List<Long>deleted, 
List<StringRule>modified) ( 
updateRules (settings.getRules(), added, deleted, modified); 


private void updateRules (final Set rules, final List added, 
final List<Long>deleted, final List modified) { 
TransactionWork tw= new TransactionWork() { 
public boolean doWork (Session s) { 
listUtil.updateCachedItems (rules, added, deleted, modified); 


settings- (AdBlockerSettings) s.merge (settings); 


retum true; 


public Object getResult() ( 
retum null; 


J; 
getNodeContext () .runTransaction (tw) ; 
} 


为 了 能 够 从 客户 的 单 次 请 求 来 更 新 所 有 设置 ,需要 在 单 次 transaction 中 实现 更 新 所 有 
设置 的 方法 。 


public void updateAll ( final AdBlockerBaseSettings baseSettings, final List [ ] 
rulesModifications) { 
TransactionWork tw= new TransactionWork() { 
public boolean doWork (Session s) { 
if (baseSettings = null) { 
settings.setBaseSettings (baseSettings) ; 
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ListUtil .updateCachedI tems (settings.getRules () , 
rulesModi fications) ; 
settings- (AdBlockerSettings) s .merge (settings); 


retum true; 


public Фјесі getResult() ( 
retum null; 


Nu 
getNodeContext () .runTransacticn (tw) ; 


reconfigure (); 
} 

2) 统计 

每 个 Node 可 以 有 两 组 Blingers 集合 : Activity Blinger( 左 侧 ) 图 形 化 node 的 活跃 性 和 
Counter Blinger( 右 侧 ) 来 显示 node 行为 的 统计 信息 。 

为 了 定义 Node Blingers ,开发 者 需要 为 当前 Node 实例 获取 LocalMessageManager 和 
计数 值 : 

LocalMessageManager 1nm= 


LocalUvmContextFactory.context () . localMessageManager () ; 
Counters c= Inm.getCounters (getTid()) ; 


添加 所 需 的 Blingers: 


scanBlinger= с. addActivity("scan", I18nUtil.marktr("Pages scanned"), null, I18nUtil. 
marktr ("SCAN") ) ; 

blockBlinger= с. addActivity("block", I18nUtil.marktr("Ads blocked"), null, I18nUtil. 
marktr ("BLOCK") ) ; 


第 一 个 参数 表示 Blinger 的 名 称 。 

第 二 个 参数 表示 Activity Blinger (Blinger 左 侧 ) 。 

第 三 个 参数 表示 Blinger 计数 值 的 测量 值 。 

最 后 参数 表示 Counter Blinger 的 显示 名 称 (Blinger 右 侧 ) ;如 果 不 需 要 , 则 设 为 null, 
由 于 一 次 只 能 显示 4 个 Blingers 数值 ,激活 的 Blinger 数据 仅 显 示 一 次 ,默认 的 定义 如 下 : 


lmm. setActiveMetricsIfNotSet (getTid(), scanBlinger, blockBlinger) ; 


3) 日 志 事件 和 过 滤 事 件 
为 该 Node 创建 EventManager, 即 eventLogger 类 实例 。 
eventLogger= 
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EventLoggerFactory. factory() . getEventLogger ( getNodeContext () ) ; 


创建 Filter Events 3E fF X xt UE A wi WY H Е C DL AdBlockedFilter 来 过 滤 
AdBlockerEvent blocked events) 并 注册 该 过 滤器 到 event manager: 

eventlogger.acdSimpleEventFilter (eventFilter) ; 

创建 作为 NodeImpl 部 分 的 方法 来 记录 过 滤 事 件 , 从 handler 中 调用 logging event 方法 
来 记录 对 应 的 事件 : 


void log (AdBlockerEvent event) { 
eventLogger.1og (event); 
} 
4) 网 络 流 的 处 理 
此 步 为 安全 功能 实现 的 核心 。 网 络 流 的 处 理 通过 插入 UVM pipes 机 制 来 访问 指定 的 
网 络 数据 ,如 以 HTTP 流量 处 理 为 例 。 


private final PipeSpec[] pipeSpecs; 
public AdBlockerInpl () ( 


SoloPipeSpec httpPipeSpec- new SoloPipeSpec("adblocker- http", this, 
new TokenAdaptor(this, new AdBlockerFactory(this)), Fitting. НТТР TOKENS, 
Affinity. SERVER, 0) ; 
pipeSpecs= new PipeSpec[] { httpPipeSpec }; 
} 
J PpstractNode metbods = 


@ Override 
protected PipeSpec[] getPipeSpecs() { 
return pipeSpecs; 


Ж: 

(D PipeSpec 有 两 种 : SoloPipeSpec 和 CasingPipeSpec. ЭШ Node 采用 SoloPipeSpec. 
只 有 FTP、HTTP 和 Mail 处 理 需要 用 CasingPipeSpec, 

(2) Fitting. HTTP_TOKENS~http tokens, 

(3) Affinity: 表示 特定 侧 管道 的 亲 和 人 性 。 

(D client; 更 快 处 理 。 

@ server: 后 续 处 理 。 

(4) AdBlockerFactory: 创建 AdBlockerHandlers 的 Factory。 

(5) AdBlockerHandler: AdBlockerHandlers 实现 实际 的 HTTP 流量 处 理 功能 。 

Ф ÆW HTTP token 流 给 予 protocol 状态 相关 的 处 理 方法 。 
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© 屏蔽 不 欢迎 的 HTTP 流量 : 如 不 受 欢迎 的 Ad URLs. 

(6) AdBlockerReplacementGenerator: 生成 被 阻止 HTTP 流量 的 一 个 替代 网 页 。 
2. 数据 库 schema 文件 

数据 库 schema 文件 位 于 : 


hier/usr/share/untangle/schema/untangle- node- «node name» 
以 Adblocker 为 例 : 


hier/usr/share/untangle/schema/untangle- node- adblocker 


该 文件 夹 包 含 的 script 文件 settings-schema. sql 和 events-schema. sql 来 支持 创建 table 
schema, 创 建 node 数据 库 的 node setting 和 node events 模板 内 容 。 
如 果 需 要 ,还 包括 不 同 版 本 之 间 的 更 新 脚本 ,如 settings-convert-x. sql 和 events- 


convert-x. sql。 


21.4.7 安全 应 用 Node UI 界面 


1. 为 新 Node 创建 settings. js 文件 

节点 的 设置 文件 必须 以 settings. js 命名 。 设 置 文件 必须 在 以 下 目录 : 

< nodePackageName> /hier/usr/share/untangle/web/webui /script/« node- name> 

以 Adblocker 为 例 : 

adblocker/hier/usr/share/untangle/web/webui/script/untangle- node- adblocker/settings. js 
2. 防止 重复 加 载 settings. js 文件 

setting. js 文件 为 动态 加 载 。 为 了 防止 重复 加 载 ,可 按 如 下 代码 来 编写 : 

if (!Ung.hasResource["Ung.AcBlocker"]) ( 

Ung. hasResource ["Ung.AdBlocker"]= true; 


//JavaScript code... 
} 


3. 注册 Node( JavaScript) class 
设置 Settings class 名 称 必须 先 注 册 如 下 : 
Ung. NodeWin. registerClassName ( ' untangle- node- adblocker', 'Ung. AdBlocker'); 


4. 创建 Node JavaScript class 
Node 设置 Settings 类 必须 由 Ung. NodeWin 组 件 来 扩展 : 
Ung.RGBlocker= Ext extend (Ung.Nodaitin, { 
//JavaScript code... 
} 
5. Æ initComponent 方法 
用 相应 的 标签 页 重 写 initComponent 方法 来 创建 标签 页 面板 。 


initCamponent? : function() { 
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this.buildstatus (); 
this.buildFilters (); 
this.buildEventIog() ; 
// builds the tab panel with the tabs 
this.buildTabPanel ([this.panelStatus, this.gridFilters, this.gridEventlog]); 
Ung.AdBlocker.superclass.initCamponent .call (this); 
J, 


6. 创建 Grid Editor panel 
以 下 例子 给 出 了 Ung. EditorGrid 的 使 用 : 


// Filters grid 
buildFilters? : function() { 

// enable is a check colum 

var liveColum new Ext .grid.checkColum ({ 
header? : "<b>"+ this.il8n._ ("enable")+ "</b>", 
dataIndex : 'live', 
fixed : true 

р; 

this.gridFilters= new Ung.EditorGrid ({ 
settingsmp : this, 
name : 'Filters', 
helpSource : 'filters', 
// the total records is set fram the base settings 
// rulestength field 
totalRecords : this.getBaseSettings () .rulesLength, 
emptyRow : ( 

"string" : this.il8n. ("[no description]"), 
"live" : true 

}, 
title : this.il&. ("Filters"), 
// the colum is autoexpanded if the grid width permits 
autcExpandColum : 'string', 
recordJavaClass : "com.untangle.uvm.node.StringRule", 
// this is the function used by Ung.RocProxy to retrive data 
// frm the server 
proxyRpcEn : this.getRpcNode () .getRules, 
// the list of fields 


fields : Ц 
name : 'id' 
// this field is internationalized so a converter was 
// added 
ht 
name : 'string', 
type : 'string' 
Lt 
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name : 'live' 
H, 
// the list of colums for the colum model 
colums : [liveColum, 
{ 
id: 'string', 
header : this.ilén. ("description"), 
width : 200, 
dataIndex : 'string', 
// this is a simple text editor 
editor : new Fxt.form.TextField(( 
allowBlank : false 
р 
п, 
sortField : 'string', 
columsDefaultSortable : true, 
plugins : [1iveColum], 
// the row input lines used by the row editor Window 
rowEditorInputLines : [ 
new Ext. form.Checkbox (( 
name : "Enable", 
dataIndex : "live", 
fieldLabel : this.il8n. ("Enable") 
}), new Ext.form.TextField(( 
name : "Description", 
dataIndex : "string", 
fieldlabel : this.il8n. ("Description"), 
width : 200 
р] 


} 


7. 创建 Grid Events Log panel 
以 下 例子 给 出 了 Ung. GridEventLog 的 使 用 : 


// Event Log 
buildEventlog? : function() { 
var asClient- function (value) { 
var pe= (value ==m111?m111: value.pipelinefndpoints) ; 
retum ре ===null?"™: pe.CClientAddr+ ":"4 pe.CClientPort; 
J; 
var asServer= function(value) ( 
var pe- (value ==null ?null : value.pipelineEndpoints); 
retum pe ===null ?"" : pe.SServerAddr+ ":"+ pe.SServerPort; 
J; 
Var asRequest= function(value) { 
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Teturn value ==null || value.url ==null ?™ : value.url; 
)-createDelegate (this) ; 


this.gridEventlog- new Ung.GridEventlog ({ 
setting% : this, 
//the list of fields 
fields : [{ 
name : 'timeStamp', 
SortType : Ung.SortTypes.asTimestamp //a custam "casting" function used 
to convert node values before sorting 
ht 
name : 'displayAction', 
type : 'string', // for string sorting 
convert : function(value) ( 
Switch (value) ( 
case 0 : // PASSED 
return this.il8n. ("pass"); 
default : 
case 1 : // BLOCKED 
retum this.il8n. ("block"); 
) 
)-createDelegate (this) 


name : 'reason', 


type : 'string’ 


name : 'client', 
mapping : 'requestLire', 
sortType : asClient 


name : 'server', 
mapping : 'requestLine', 
sortType : asServer 


name : 'request', 
SortType : asRequest 
1, 
//the list of colums 


colums : [{ 
header : this.ilén. ("timestamp"), 
width : 120, 
sortable : true, 
dataIndex : "timeStamp', 
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renderer : function (value) { 
retum i18n.timestampFormat (value) ; 


} 

ki 
header : this.ilén. ("action"), 
width : 120, 


sortable : true, 
dataIndex : 'displayAction' 
b í 
header : this.ilgn. ("client"), 
width : 120, 
sortable : true, 
dataIndex : 'client', 
renderer : asClient 
ht 
header : this.il&n. ("request"), 
width : 120, 


Lt 


H 
H; 
А 


8. 创建 自 定 义 面 板 custom panels 
以 下 例子 给 出 了 如 何 创 建 自 定义 面板 custom panel: 


//Status Panel 
bbuildstatus?: function() { 
this.panelStatus- new Ext.Panel ({ 
name : 'Status', 
helpSource : 'status', 
parentId : this.getId(), 


title : this.il&n. ('Status'), 
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title : this.il8n. ('Statistics'), 
layout:'fom', 


fieldlabel : this.il8n. ("Total Filters Available'), 
name: "Total Filters Available', 
value: this.getBaseSettings () .totalAvailable 
ht 
fieldlabel : this.il8n. ("Total Filters Enabled'), 
name: "Total Filters Enabled', 
value: this.getBaseSettings () .totalBlocking 
H 
4 
title : this.il8n. ('Note'), 
cls: 'description', 
html : String.formmat(this.il8n. ("(0) continues to maintain the default 
filters through autamatic updates. You are free to modify and add filters, 
however it is not reguired."), 
main.getBrandingBaseSettings () .campanyName) 
H 
D; 


21.4.8 Validation 


1. Grid/row 编辑 器 的 域 验证 
1) 使 用 validators 


new Ext .form.TextField(( 


name: "string", 
fieldLabel: this.il8n. ("Site"), 
width: 200, 


//this filed is required 
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allowlank: false, 
//change default blankText error msg 
blankText: this.il8n. ("Invalid \"URL\" specified"), 


//validate field data; the same mechanism is used for row editor and grid editor fields 
validator: function(fieldValue) { 


if (fieldvalue.indexOf ("https") ==0) { 
retum this.il8n. ("\"URL\" specified cannot be passed because it uses secure http 
(https)") ; 


} 

if (fieldvalue.indexOf ("http://") ==0) { 
fieldValue= fieldValue.substr (7) ; 

} 

if (fieldvalue.indexOf ("www.") ==0) { 
fieldValue= fieldValue.substr (4); 

} 

if (fieldValue.indexOf ("/") == fieldvalue.length- 1) { 
fieldValue= fieldValue.substring (0, 
fieldvalve.length- 1); 

} 

if (fieldValue.trim() .length ==0) { 
return this.il8n. ("Invalid \"URL\" specified"); 

} 

return true; 

).createDelegate (this) ; 
р 


2) 使 用 ExtJS vTypes 


new Ext .form.TextField(( 
allowBlank? : false, 
vtype?: 'ipAddress' 
p 


2. Global validation (保存 之 前 ) 
客户 端 validation; 


validateClient: function() { 
//no need for validation here...just alter the URLs 
if(this.gridPassedUrls) ( 
this.alterUrls (this.gridPassedUrls.getSavelist ()) ; 
} 
if(this.gridBlockedUrls) ( 
this.alterUrls (this.gridBlockedUrls.getSavelist ()) ; 


return true; 


服务 端 validation; 


validateServer: function() { 
//igMeddr list must be validated server side 
var 
getSavelist () :null; 
if(passedClientssavelist!- null) { 
var ipMaddrList- []; 
//added 
for (var i= 0;i«passedClientsSavelist [0] .list.length;i* +) ( 
ipMaddrList.push (passedCLientsSaveList [0] .list [i] ["ipMaddr")) ; 
} 
Гой іе 
for (var i= 0;i<passedClientsSaveList [2] .list.length;i++) ( 
ipMaddrList .push (passedClientsSaveList [2] .1ist [i] ["ipMadar"]) ; 
} 
if (ipMadirList.length>0) ( 
try { 
var result= 
this.getValidator () .validate((list: 
ipMaddrList, "javaClass":"java.util .ArrayList"}) ; 
if(!result.valid) { 
this.panelPassLists .onManagePassedClients () ; 


this.gridPassedClients.focusFi rstChangedDataByFieldvalue 
("ipMaddr", result .cause) ; 


Ext.MessageBox.alert(this.il8n. ("Validation 
failed"), this.il8n. (result.message)+ ": "+ result .cause) ; 


retum false; 
} 
} catch (e){ 
Ext .MessageBox.alert (i18n._ ("Failed") ,e.message) ; 
retum false; 
} 
} 
} 
return true; 


}, 


3. 告警 设置 修改 丢失 
加 入 告警 , 当 取消 保存 时 ,设置 修改 将 被 丢失 。 
isDirty: function() { 
return this.gridFilters.isDirty(); // just call isDirty for the grid 
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4. 创建 保存 设置 的 方法 
获取 修改 后 的 数据 ,用 JSON-RPC 调用 相应 的 АРІ 函数 。 


// save function 
saveAction: function() { 
Ext.MessageBox.wait(il&n. ("Saving..."), il8n. ("Please wait")); 
this.getRpcNode () .updateA11 (function (result, exception) { 
Ext .MessageBox. hide () ; 
if(Ung.Util.handleExoeption (exoeption)) return; 
// exit settings screen 
this.closeWindow(); 
).createDelegate (this), this.getBaseSettings () , 
this.gridFilters.getSavelist()); 


21.4.9 补充 内 容 
1, 重要 JavaScript 文件 


/src/uvmr lib/servlets/webui /root/script/camponents.js 

- 组 fF  ConfigItem, AppItem, Node,  NodePreview, BlingerManager, SystemStats, 
ActivityBlinger,  SystemBlinger, EditorGrid,  SettingsWin,  NodeWin, UpdateWindow, 
ManageListWindow, RowEditorWindow, UsersWindow, GroupsWindow, GridEventLog, 
JsonListReader, Breadcrumbs % iji fV fij 


/src/uvm- lib/servlets/webui/root/script/md5 .js 
-MD5 算 法 的 JavaScript 实现 版 本 


/src/uvm- lib/servlets/webui/root/script/main.js 
-主机 框 rack 的 代码 


/pkgs/untangle- apache2- config/files/var/www/script/il8n.js 
-国际 化 函数 的 代码 


/pkgs/untangle- apache2- config/files/var/www/script/wizard. js 

-安装 向 导 的 代码 

2. UVM API 调用 

1) Jabsorb 简介 

Jabsorb 是 轻 量 级 Ajax/Web 2. 0 框架 , 它 允 许 Web 浏览 器 中 的 JavaScript 脚本 可 以 调 
用 服务 器 端 Java Web 应 用 类 的 方法 。 

Jabsorb 采用 JSON-RPC 协议 来 进行 服务 器 和 客户 端 之 间 的 传输 通信 。Jabsorb 用 来 
实现 UVM API 的 调用 。 使 用 Jabsorb 的 json-rpc 实现 版 本 (http://jabsorb. org/manual) 
对 节点 配置 ,调用 Node API (如 为 协议 控制 节点 的 ProtoFilter interface 方法 )。 该 接口 应 
该 提供 相应 的 方法 来 显示 标 页 码 的 数据 ,更 新 的 表 项 和 事件 日 志 。 
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目前 不 为 单个 list 单独 使 用 setter 方法 (如 ProtoFilter. updatePatterns(...))。 当 有 多 
个 list 时 ,需要 逐个 更 新 ,再 对 Node 调用 reconfigure() HM. dH Jc. 01718 HI helper 
method, updateAll 来 更 新 所 有 设置 (base settings. lists) ,并 且 重 配置 Node。 这 种 方法 在 
节点 配置 后 只 需 保 存 一 次 。 

2) Untangle Jabsorb 使 用 

(1) jabsorb 的 安装 。 

第 1 步 : ША jart. 

Jabsorb 需要 三 个 jar 包 : jabsorb-1. 2. 2. jar. slf4j-api-1. 4. 3. jar 和 slf4j-log4j12-1. 4. 3 
.jar, 这 三 个 文件 都 可 以 在 Jabsorb-1. 2. 2-src. zip 的 压缩 包 中 找到 。 

将 这 三 个 文件 放 到 二 Web 根 目 录 之 WEB-INF 下 的 lib 目录 中 ,或 二 Tomcat 安装 目录 二 下 
的 lib 目录 中 。 


/usr/share/untangle/web/webui /WEB- INF/lib 


第 2 步 : 配置 web. xml. 
web. xml 在 以 下 目录 中 : 


/usr/share/untangle/web/webui /WEB- INF/ 
web. xml 文件 内 容 显示 如 下 : 


<servlet> 
< servlet- name» JSONRPCServlet< /servlet- name> 


< servlet- class» org. jabsorb. JSONRPCServlet< /servlet- class» 


«init- param» 
< param- name» gzip threshold« /param- name> 
< param- value» 0« /param- value» 
< /init- param» 
< /servlet» 


< servlet- mapping» 
< servlet- name> JSONRPCServlet< /servlet- name> 
< url- pattern» /JSON- RPC< /url- pattern» 

< /servlet- mapping» 


以 上 配置 文件 初始 化 Jabsorb 引擎 Servlet。 其 中 gzip threshold nf LAC — 1,0 和 一 个 
正 整数 。 如 果 为 0, 表示 对 响应 的 所 有 内 容 进 行 压缩 ;如 果 值 为 一 1, 表 示 不 会 对 响应 的 内 容 
进行 压缩 ;如 果 为 一 个 正 整数 ,表示 当 响 应 内 容 超 过 这 个 整数 时 ,进行 压缩 。 

当 浏览 器 不 支持 gzip 压缩 格式 ,或 是 经 过 压缩 后 的 尺寸 要 比 不 压缩 的 尺寸 还 大 时 ( 当 
响应 内 容 比 较 少 时 可 能 发 生 这 种 情况 ) ,Jabsorb 就 不 会 对 响应 内 容 进行 压缩 。 因 此 ,最 好 
将 这 个 值 设 为 0, 但 这 样 做 所 付出 的 代价 是 可 能 会 对 所 有 的 响应 内 容 进行 压缩 。 有 具体 设置 
可 根据 具体 情况 而 定 。 
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将 jsonrpe. js 复制 到 过 Web 根 目录 之 script 中 ,该 文件 在 Jabsorb 的 压缩 包 中 也 可 以 找到 。 
/Var/waw/jsonrpc/jsonrpc.js 


(2) 编写 Jabsorb 简单 应 用 程序 。 
第 1 步 ” 编写 一 个 用 客户 端 访问 的 Java 类 。 


package invoke; 


public class Message implements java.io. Serializable 
{ 
public String getMessage (String s) 
{ 
return "hello world"+ s; 


} 
第 2 步 ”编写 JSP 代码 。 


<%-- index.jsp --%> 
<%@ page language= "java" import= "java.util. * " pageEncoding= "utf- 8"%> 


< ! DOCTYPE HTML PUBLIC "- //W3C//DTD HTML 4.01 Transitional//EN" > 
<html> 
<head> 
< script type= "text/javascript" src= "script/jsonrpc. js"> < /script> 
< script type= "text/javascript" > 
function onLoad() 
{ 
jsonrpc- new JSONRpcClient ("JSON- RPC") ; 
} 
window. onload= onLoad; 


function invoke () 

{ 
var text= document. getElementById("text") ; 
var result= jsonrpc. msg. getMessage (text. value) ; 
alert (result) ; 

} 

</script> 

< jsp: useBean id= "JSONRPCBridge" scope- "session" 

class= " org. jabsorb. JSONRPCBridge " /> 

< jsp: useBean id= "message" scope- "session" 
class= "invoke.Message" /> 

<% 

JSONRPCBridge.registerObject ( "msg", message); 

b> 
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< /nead» 


<body> 
«input type= "text" id= "text" /> 
«input type- "button" value- "get message"  /» 
< /body> 
< /html> 
ТЕ JSP 文件 中 需要 做 如 下 四 件 事 才能 调用 getMessage 方法 。 
Ф 引用 jsonrpc. js 文件 。 
© Æ onLoad 函数 中 创建 JSONRpcClient 对 象 。JSONRpcClient 类 的 构造 方法 的 参数 
值 就 是 在 web. xml 中 配置 的 JSON-RPC。 
© 使 用 二 jsp: userBean 二 创建 org. jabsorb. JSONRPCBridge 和 invoke. Message 
对 象 。 
® 使 用 JSONRPCBridge 的 registerObject 方法 注册 Message 类 ,其 中 第 一 个 参数 可 以 
是 任意 的 字符 串 ( 这 个 参数 是 注册 名 ) ,第 二 个 参数 是 Message 对 象 实例 。registerObject 方 
法 可 以 对 同一 个 注册 名 使 用 多 次 ,但 后 一 个 将 覆盖 前 一 个 对 象 。 
在 做 完 上 述 工作 后 ,就 可 以 使 用 jsonrpc. msg. getMessage 来 调用 getMessage 方法 。 
(3) 在 Servlet 中 使 用 Jabsorb, 
除了 在 JSP 中 使 用 Jabsorb 外 ,也 可 以 在 Servlet 中 使 用 它 。 代 码 如 下 : 


public void service (HttpServletRequest request, HttpServletResponse response) 

throws ServletException, IOException 

HttpSession session- request .getSession () ; 

JSONRECBridge bridge- (JSONRECBridge) session.getAttribute ("JSONRECBridge") ; 

if (bridge ==nu11) 

{ 
bridge- new JSONRECBridge () ; 
session.setAttribute ("JSONRECBridge", bridge); 

} 

bridge. registerOpject ("msg", message) ; 


) 


从 上 面 的 代码 可 以 看 出 ,在 Servlet 中 使 用 Jabsorb ,实际 上 就 是 使 用 registerObject 方 
法 来 注册 Message 类 。 然 后 可 以 forward 到 使 用 Jabsorb 的 JSP 页 面 , 也 可 以 使 用 
PrintWriter 在 当前 Servlet 中 输出 相应 的 JavaScript 和 HTML 代码 。 

(4) 注册 全 局 对 象 。 

使 用 registerObject 注册 的 对 象 只 能 在 当前 页 面 中 访问 。 如 果 想 注册 一 次 ,就 可 在 以 任 
何 运 行 在 当前 Web 服务 器 的 页 面 (JSP .HTML 等 ) 中 使 用 这 个 对 象 ,就 需要 使 用 如 下 的 代 
码 来 注册 Message 对 象 : 


JSONRECBridge .getGlobalBridge () .registerObject ("globalMsg", message) ; 


可 以 将 上 面 的 相应 代码 换 成 这 行 代码 ,然后 另 建立 一 个 test. jsp ,然后 使 用 如 下 的 代码 
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调用 getMessage Wik: 


«script type= "text/javascript" src= "script/jsonrpe.js"></script> 
<script type= "text/javascript"> 
try 
{ 
jsonrpc- new JSCNRpcC1ient ("JSON- ВЕС"); 
// 如 果 将 gjcbalMeg 换 成 msg, 将 抛 出 [cbject error] 错 误 
var result- jsonrpc.gldbalMsg.getMessage ("bill"); 
alert (result); 
} 
catch (e) 
t 
alert (e); 
} 
</script> 


Untangle 代码 见 文件 : /src/uvm-lib/servlets/webui/src/com/untangle/uvm/webui/ 
jabsorb/UtJsonRpcServlet. java: 


public class UtJsonRpcServlet extends JSONRECServlet 
{ 
private static final String BRIDGE ATTRIBUIE- "JSONRECBridge"; 


private void initSessionBridge (HttpServletRequest req) 
{ 

HttpSession s= req.getSession () ; 

JSONRECBridge b= 

(JSONRECBridge) s.getAttribute (BRIDGE ATTRIBUIE); 


if (null ==b) { 
b= new JSONRECBridge () ; 
s.setAttribute(BRIDGE ATTRIBUIE, b; 
b.setCallbackController (new UtCallbackController (b) ) ; 


RemoteUvmContext uvm= 
LocalUvmContextFactory.context () .remoteContext () ; 
b.registerdbject ("RemoteUwrContext", uvm, 
RemoteUvmContext.class) 7 
/ src/ uvm-lib/servlets/setup/src/com/untangle/uvm/setup/jabsorb/UtJsonRpcServ- 


let. java: 


protected JSONRECBridge findBridge (HttpServletRequest request) 
{ 
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// Find the JSONRECBridge for this session or create one 
// if it doesn't exist 

HttpSession session= request.getSession( false ); 
JSONRECBridge jsonBridge= null; 

if (session !=null) jsonBridge- (JSONRECBridge) 
session.getAttribute (BRIDGE ATTRIBUTE); 


if ( jsonBridge == null) { 
/* Use the global bridge if it can't find the session bridge * / 
jsonBridge- JSONRECBridge.getGlobal Bridge () ; 
if ( logger.isDebuginabled()) logger.debug ("Using global bridge."); 
} 
return jsonBridge; 


public class UtJsonRpcServlet extends JSONRECServlet 


t 
private static final String BRIDGE ATTRIBUIE- "JSONRECBridge"; 


private void initSessionBridge (HttpServletRequest req) 
{ 

HttpSession s= req.getSession () 7 

JSONRECBridge b= 

(JSONRECBridge) s.getAttribute (PRIDGE_ATIRIBUIE) ; 


if ull ==b) { 
b= new JSONRECBridge () ; 
s.setAttribute (BRIDGE ATTRIBUIE, b); 
b.setCallbackController (new UtCallbackController (b) ) ; 


RemoteUvmContext um 
IocalUmContextFactory .context () .remoteContext () ; 
b.registerdbject ("RanoteUvmContext", um, 
RemoteUvmContext .class) ; 


/ src/ mail-casing/servlets/quarantine/src/com/untangle/node/mail/web/euv/UtJson- 


RpcServlet. java; 


public class UtJsonRpcServlet extends JSONRECServlet 


{ 
private static final String BRIDGE ATTRIBUTE= "JSONRECBridge"; 


public void service (HttpServletRequest reg, HttpServletResponse resp) 
throws IOException 


initSessionBridge (req) ; 
Super.service (reg, resp); 


// private methods - --------------------------------------------- 


private void initSessionBridge (HttpServletRequest req) 
{ 
HttpSession s= req.getSession(); 
JSONRECBridge b= 
(JSONRECBridge)s.getAttribute (BRIDGE ATTRIBUTE); 
if (null ==b) { 
b= new JSONRECBridge () ; 
s.setAttribute BRIDGE ATIRIBUIE, b); 


b.registerdbject ("Quarantine", 
JsonInterfaceInpl .get Instance () , JsonInterface.class) ; 


} 
Untangle 代码 见 如 下 文件 : 


/src/uvmr lib/servlets/webui/root/script/main.js: 
rpc.jJsonrpc= new JSONRpcClient ("/webui/JSON- REC") ; 


/src/uvm- lib/servlets/reports/root/script/reports.js: 
rpc.jsonrpc= new JSONRpcClient ("/webui /JSON- ВЕС"); 


/src/uvm- lib/servlets/setup/root/script/setup.js: 
rpc.jsonrpc= new JSONRpoClient ( "/webui/JSON- REC" ) ; 


/src/uvm- lib/servlets/setup/root/script/language.js: 
pc. setup= new JSONRpcClient ("/setup/JSON- REC") .SetupContext; 


(5) 访问 集合 类 型 。 
如 果 返 回 的 数据 很 多 ,可 以 使 用 Java 提供 的 集合 类 型 ,如 将 Message 扩展 为 如 下 形式 : 


package invoke; 


public class Message implements java.io.Serializable 
t 
public String getMessage (String s) 
t 
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return "你 好 "+5; 
} 
public java.util.List getlist () 
{ 
java.util.List list- new java.util.LinkedList (); 
list.ada ("H H"); 
List .add (1234) ; 
retum list; 
} 


public java.util.Map getMap () 
{ 
java.util .Map map= new java.util .HashMap () ; 
map. put ("bird", "fS"; 
map.put ("human", "A Ж"); 
retum map; 


} 
index. jsp 中 可 加 入 如 下 代码 来 访问 getList. getMap 方法 中 的 数据 ， 


<script type= "text/javascript"> 
jsonrpc- new JSONRpoClient ("JSON- ВЕС"); 


alert (jsonrpc.globalMsg.getList () .1ist[1]); 
alert (jsonrpc.globalMsg.getMap () map[ "bird" ]); 

</script> 

(6) 异步 调用 。 

以 上 代码 都 是 同步 调用 ,在 返回 结果 之 前 .客户 端 程序 会 被 阻塞 。 为 了 在 网 络 环境 不 畅 
的 环境 下 Web 程序 仍然 能 运行 良好 ,这 就 需要 进行 异步 调用 ,客户 端 在 发 送 请 求 后 立即 返 
回 。 一旦 服务 端 返回 信息 , 才 会 调用 男 一 个 “回调 函数 "来 获取 结果 。 

回调 函数 必须 有 两 个 参数 ,第 一 个 参数 表示 返回 值 , 第 二 个 参数 表示 异常 信息 。 如 果 无 
异常 信息 ,第 二 个 参数 值 为 null。 下 面 是 一 个 回调 函数 


function asyc (result,e) 
{ 
if(e--nul) 
alert (result) ; 
} 


可 以 使 用 下 面 的 代码 以 异步 方式 来 调用 getMessage 方法 : 
jsonrpc.msg.getMessage (азус, 'bi11'); 


从 上 面 的 代码 可 以 看 出 ,异步 调用 和 同步 调用 的 区 别 就 是 异步 调用 需要 将 回调 函数 作 
为 方法 的 第 一 个 参数 传人 被 调用 的 方法 。 后 面 跟着 被 调用 方法 的 参数 值 。 
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Untangle 回调 函数 见 ; 


/src/uvmr lib/servlets/webui /src/cam/untangle/uvm/webui /jabsorb/ 
UtCallbackController.java: UtCallbackController (JSONRECBridge bridge) 


/src/uvm lib/servlets/setup/src/can/untangle/uvm/setup/jabsorb/ 
UtCallbackController.java: UtCallbackController (JSONRECBridge bridge) 


3. Ext JS 资源 
Ext JS 开发 框架 详 见 http://www. sencha. com/products/extjs, 主 要 包括 Ext API 的 
文档 和 Document Model 组 件 模型 。 


Ext API Documentation 
Ext Component Model 


4. JavaScript 5 HTML 调试 

Firebug 是 由 Joe Hewitt 开发 的 一 组 与 Firefox 集成 的 Web 开发 调试 工具 。 可 以 通过 
Firebug 实时 编辑 .调试 ,监测 任何 页 面 的 CSS、HTML 和 JavaScript, Firebug lite 版 本 也 
可 以 在 TE 浏览 器 中 使 用 ,功能 比较 简单 。 

ExtJS 目录 树 如 下 : 


/var/www/ext/adapter/ext/ 

/var/ww/ext/adapter/jquery/ 

ANar/www/ext./adapter/prototype/ 

/var/ww/ext/adapter/yui/ 

/var/ww/ext/docs/ 

/var/ww/ext/sourœ/ 

/var/ww/ext/build/ 

/var/ww/ext/examples/ 

/var/ww/ext/resources/ 

ext-all.js ext-core-debug.js ext- all- dasbug.js ext- core.js 
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H8N 中 文化 之 前 ,需要 在 翻译 之 前 抽取 keys 值 。 单 个 设置 类 在 T18N 属性 中 自动 加 载 
Ung. NodeI18N 对 象 object。 对 I18N 内 部 node settings 使 用 this. 118п. ("My English 
Text"). 

TÉ JU Н at\untangle\src\il Sntools\ „ 

1. A po/pot 文件 创建 目录 

需要 为 每 个 node 创建 po 文件 目录 ,目录 名 称 格式 如 下 : 


<nodePackageName> /po (如 adolocker/po) 
2. 抽取 字符 串 至 pot 文件 


xgettext — - copyright- holder- 'Untangle, Inc. ' - 工 Python - kil8n._ - o keys.pot ../hier/usr/share/ 
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untangle/web/webui /script/untangle- node- adblocker/settings.js 

使 用 -j 选项 将 messages 加 入 现 有 的 message 文件 。 

xgettext — j - - copyright- holder= ‘Untangle, Inc." - L Java - kmarktr - o tmp_keys.pot ../impl/com/ 
untangle/node/adolocker/* .java 

3. 从 pot 文件 创建 po 文件 为 合适 的 语言 

创建 和 合并 新 翻译 文件 到 pot 文件 : 


ср keys.pot ro/shield.po 

如 果 ро 文件 已 经 存在 ,使 用 msgmerge 命令 : 
msgrerge -U ro/shield.po keys.pot 

改变 charset 为 UTF-8: 

"Content-Type: text/plain; charset= UTF- 8\n" 


4. 翻译 keys 

为 了 编辑 po 文件 ,可 采用 gted 工具 (GetText Editor) , 它 是 编辑 gettext po 文件 的 编 
辑 器 (如 gted, 见 http://www. gted. org/)。 该 工具 非常 易 用 ,可 以 集成 在 Eclipse IDE 的 
插件 中 。 


21.5 Untangle 内 核 驱 动 模块 编译 


参见 wiki Build new Kernel Modules。 主 要 针对 网 络 驱动 等 应 用 场景 。 

(1) 安装 Untangle 系统 。 

(2) 登录 http://localhost/alpaca, 使 用 默认 密码 passwd 配置 外 部 接口 。 

(3) 删除 配置 文件 /etc/ssh/sshd_not_to_be_run, 运 行 /etc/initd/sshd/start 启用 sshd 
服务 。 

(4) 通过 终端 登录 ,ssh 连接 root@ip. addr。 

(5) 创建 /etc/apt/sources. list. d/ dev. list 文件 ,内 容 如 下 : 


deb http: //ftp.us.debian.org/debian lenny main contrib non- free 


(6) 运行 apt-get update. 

(7) 3811 apt-get —yes install untangle-development-build, 

(8) fE 1386 系统 ,运行 apt-get -yes install linux-headers-2. 6. 26-1-untangle-486 linux- 
headers-2. 6. 26-1-untangle-686, 

如 果 是 amd64 系统 ,运行 apt-get -yes install linux-headers-2. 6. 26-1-untangle-amd64, 

(9) 立即 删除 /etc/apt/sources. list. d/dev. list. 

这 样 就 可 以 重新 编译 一 个 . ko 内 核 模块 ,对 于 某 些 驱动 程序 的 编译 必 不 可 少 。 编 译 后 
将 其 复制 至 /lib/modules 目录 下 。 
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21.6 Untangle UI 界面 


安全 模块 主管 理 界面 是 基于 Ext JS 库 开发 ,通过 Ext JS 库 提 供 的 组 件 进行 扩展 堆砌 组 
合 而 成 。 

浏览 器 的 JavaScript 代码 基于 Jabsorb 开源 库 , 通 过 JSON-RPC 协议 调用 this. 
getRpcNode() 方 法 获得 Untangle 中 注册 的 对 应 UVM 模块 Node 的 设置 和 事件 信息 ,可 根 
据 每 个 模块 提供 的 接口 进行 获取 设置 和 更 新 设置 的 操作 。 


21.6.1 CSS 
Untangle UTM 平台 界面 UI 主要 由 CSSCess 文件 ) 和 背景 图 片 文件 组 成 ,分 别 在 css 
目录 和 图 片 目录 下 。 


/pkgs/untangle- apache2- config/files/var/www/skins/default/css/admin.css 
/pkgs/untangle- apache2- config/files/var/ww/skins/default/css/ext- skin.css 
/pkgs/untangle- apache2- config/files/var/www/skins/default/css/reports.css 
/pkgs/untangle- apache2- config/files/var/www/skins/default/css/user.css 


/pkgs/untangle- apache2- config/files/var/www/skins/default/images 
其 他 主题 文件 分 别 在 以 下 目录 下 : 

/pkgs/untangle- apache2- config/files/var/www/skins/cammo/css 
/pkgs/untangle- apache2- config/files/var/www/skins/cammo/images 
/pkgs/untangle- apache2- config/files/var/www/skins/defaultwide/css 
/pkgs/untangle- apache2- config/files/var/www/skins/defaultwide/images 
ess 文件 主要 应 用 于 以 下 主 界 面 文件 main. js P: 


/src/uvm- lib/servlets/webui /root/script/main.js 
- & @ Е Hl HE center (fi ff rack- list, rack- nodes), east (包括 appitems, configItems) 
的 代码 


21.6.2 main 主页 面 


当 访 问 index. jsp 时 ,Tomcat web 服务 器 会 自动 跳 转 到 startPage. jps, 调 用 servelt 程 
序 tartPageServcet. java, 生 成 动态 HTML 网 页 。 


N src\ uvm- lib\ servlets\ webui\ root\ index. jsp 
N src\ uvm- lib\ servlets\ webui\ root \ WEB- INF\ jsp\ startPage. jsp 
N src \ uwm- lib N servlets V webui V src \ com V untangle \ uvm N webui N servlet N 


StartPageServlet. java 
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N src\ uvm- lib\ servlets\ webui\ root\ script\ main. js 


N src\ uvm- libN servlets\ webui\ root\ script\ componets. js 


\ src\ uvm- lib\ servlets\ webui\ root\ script\ config\ administration. js 
N src\ uvm- lib\ servlets\ webui\ root\ script\ config\ localDirectory. js 
N src\ uvm- lib\ servlets\ webui\ root\ script\ config\ policyManager. js 
N src\ uvm- lib\ servlets\ webui\ root\ script\ config\ systemInfo. js 

N src\ uvm- lib\ servlets\ webui\ root\ script\ config\ system. js 


\ src\ uvm- libN servlets\ webui\ root\ script\ config\ upgrade. js 


如 在 将 CPU 负载 显示 为 百分比 ,可 以 修改 如 下 : \ src\ uvm-lib\ servlets\ webui\ 


root\ script\ component. js. 


toolTipEl. child ( " span [ name= load average 1  min]"). dom. innerHTML- stats. map. 
oneMinuteLoadAvg; 

toolTipEl. child (" span [ name= load average 5 _ min] ") . dom. innerHTML- stats. map. 
fiveMinuteLoadAvg; 

toolTipEl.child(" span [ name= load average 15  min]"). dom. innerHTML- stats. map. 


fifteenMinuteLoadAvg; 


this. getEl ( ) . child ("div [class= сри] ") . dom. innerHTML= Math. round (stats. map. 
oneMinuteLoadAvg* 100.0) + "$"; 

toolTipEl.child (" span [ name= load average 1  min]"). dom. innerHTML- Math. round 
(stats.map.oneMinuteLoadAvg* 100.0) + "$"; 

toolTipEl.child (" span [ name= load average 5  min]"). dom. innerHTML- Math. round 
(stats.map. fiveMinuteLoadAvg * 100.0) + "$"; 

toolTipEl. child (" span[name- load average 15  min]"). dom. innerHTML- Math. round 
(stats.map. fifteenMinuteLoadAvg* 100.0) + "%"; 


如 将 磁盘 空间 的 大 小 显示 ,可 以 修改 如 下 文件 : \ src\ uvm-lib\ implN com N 


untangle\ uvm\engine\ MessageManagerImpl. java. 


class MessageManagerImp1 implements LocalMessageManager 
{ 


private static final Pattern DISK STATS PATTERN 
= Pattern. compile("\\s* \\d+ \\s+ \\d+ \\s+ [hs] d[a- zA- 7] + \\d+ \\s 
+ (\\ dt )\\s+ \\ d+ \\s+ (\\ dt )") ; 


private synchronized void getDiskUsage (Map< String, Object» m) 
throws IOException 


File root= new File(" /") ; 
m.put("totalDiskSpace", root.getTotalSpace()); 
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m. put ("freeDiskSpace", root. getFreeSpace() ) ; 


21.6.3 Firebug 


Firebug 是 由 Joe Hewitt 开发 的 与 Firefox 集成 的 Web 开发 工具 ,可 以 通过 它 实 时 编 
辑 .调试 和 监测 任何 的 页 面 的 CSS НТМІ. 和 JavaScript. 
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982288 Untangle Linux 内 核 源 码 编译 


Untangle Linux A&M Linux 内 核 源 码 编译 而 来 ,但 是 需要 Pactch Netfilter 的 两 个 


补丁 。 


成 所 


在 Debian Linux 系统 上 打上 netfilter patch 后 ,编译 内 核 代 码 , 最 终 在 boot Н FA 
需要 的 启动 文件 : 

config-2. 6. 26-1-untangle-686. 

System. map-2. 6. 26-1-untangle-686, 


u 


vmlinuz-2. 6. 26-1-untangle-686 , 
initrd. img-2. 6. 26-1-untangle-686 。 


22.1 Untangle Linux 内 核 生 成 


从 源码 编译 Linux 内 核 (Debian Linux 系统 ) 非 生成 deb 包 。 

编译 安装 如 下 。 

COD 下 载 最 新 的 Linux ру (http://www. kernel. org). 

现在 最 新 的 是 2. 6. 26 ,其 下 载 地 址 是 http://www. kernel. org/pub/linux/kernel, 
(2) 复制 内 核 文件 到 /usr/src 目录 ,并 解压 。 

输入 如 下 命令 : 

ср linux- 2.6.26.tar.bz2 /usr/src 


са /usr/src 
tar jxvf linux- 2.6.26.tar.bz2 


如 果 解 压 报错 ,安装 bzip2 软件 : 
apt-get install bzip2 

解压 完毕 后 会 生成 linux-2. 6.26 Н ж: 
链接 到 linux H ж: 


1n - s /usr/src/linux- 2.6.26 /usr/src/linux 

(3) 复制 当前 配置 文件 到 新 内 核 所 在 的 目录 ,输入 如 下 命令 : 

od /usr/src/linux 

cp /boot/config- 2.6.18- 4- 686 .config 

(4) 重新 编译 你 的 内 核 , 输 入 如 下 命令 : 

= 安装 build-essential 包 。 否 则 报错 : make[1]: *** [scripts/basic/fixdep] Error 1, 


apt-get install build- essential gcc g++ libncurses5- dev initrd tools 
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make mrproper 

该 命令 确保 源 代码 目录 下 没有 不 正确 的 . о 文件 以 及 文件 的 互相 依赖 。 
make menuconfig 

配置 新 内 核 ,我 这 里 用 的 是 旧 的 配置 文件 。 

make 


此 命令 完成 了 make bzImage 和 make modules 的 工作 。 
(5) 安装 新 内 核 。 


make modules install 
把 内 核 模块 安装 到 /lib/modules/2. 6. x 下。 
make install 
完成 mkinitrd 命令 及 内 核 (bzImage) 和 System. map 的 复制 。 如 果 系 统 使 用 的 是 
Grub, 会 自动 修改 引导 选项 ;对 于 LILO 则 要 手工 修改 , 重 写 引 导 记 录 。 
如 果 以 上 操作 没有 生成 /boot/initrd. img 文件 ,进行 下 面 两 步 。 
(6) 生成 initrd. img 文件 ,输入 如 下 命令 : 
mkinitrd - o /boot/initrd.img- 2.6.26 /lib/modules/2.6.26 
此 时 如 果 报 错 : -bash: mkinitrd; command not found, 
apt-get install initrd- tools 
此 命令 会 在 /boot 目录 下 生成 initrd. img-2. 6. 26 文件 。 
更 改 根 目录 initrd. img 和 vmlinuz 指向 。 


ай / 

In -s /boot/initrd.img- 2.6.26 initrd.img 
In - s /boot/wmlinuz- 2.6.26 vmlinuz 

(7) 更 新 Grub, 输 入 如 下 命令 : 


update- grub 


22.2 Untangle Patched Linux 内 核 源 码 


Untangle 在 Linux 内 核 源码 基础 上 做 了 增强 ,此 时 需要 安装 Untangle 源码 的 netfilter 
patch 用 于 网 络 协 议 处 理 。 
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$238 Untangle 新 版 本 定制 
在 遵守 Untangle 公司 GPLv2 许可 的 情况 下 ,可 以 自己 定制 生成 自 有 Untangle 版 本 。 


23.1 Untangle 安装 光盘 创建 


Debian Linux 本 身 是 基于 Linux 内 核 的 发 行 版 ,Debian Linux 系统 鼓励 在 Debian 的 基 
础 上 定制 自己 发 行 版 。 

定制 Untangle 发 行 版 需要 创建 debian-installer( 简 称 d-i). d-i 自身 依赖 于 udeb 包 ， 
udeb 包 一 部 分 在 光盘 中 ,一 部 分 在 initrd 中 。udeb 包 又 称 micro deb 包 , 是 一 种 简化 的 
debian 软件 包 , 不 包含 md5sum、doc、man, 不 能 作为 普通 deb 包 进 行 安 装 , 主 要 是 为 debian- 
installer 使 用 。 

D-I 主要 为 Debian 初始 系统 使 用 ,一 旦 完成 安装 后 , Debian Linux 系统 就 可 以 采用 
APT( Advanced Package Tool) 来 管理 deb 包 了 。 

将 新 开发 的 ServiceNode 和 FilterNode 的 deb 集成 到 Untangle 安装 光盘 中 ,方便 为 更 
多 的 用 户 使 用 ,这 就 生成 了 Untangle Debian Linux 发 行 版 。 


23.2 Untangle 安装 光盘 修改 


修改 Untangle 安装 光盘 的 过 程 如 下 。 
CD 挂 载 原 ISO, 脚 本 如 下 : 


cd /mt 
mkdir - p /mt/iso 
mount — t 1509660 – о loop image.iso /mt/iso 


(2) 创建 光盘 内 容 的 副本 ,用 于 修改 ,脚本 如 下 : 


са /mt 

m - rf image 

cp -a iso image 

(3) 增加 额外 deb 包 到 光盘 源 。 

将 additional 中 所 有 deb & £1 V R Ж Л / mnt/image/ pool/ main/additional 中 ,包括 
新 编译 的 内 核 包 linux-image-2. 6. 26-1-XXX-686. deb (XXX 为 自己 标记 名 ,如 THU)。 

ЖЖ. 由 于 编译 出 的 src 软件 包 版 本 低 于 光盘 中 的 版 本 号 ,所 以 应 删除 /mnt/image/ 
pool/main/u/untangle-vm 中 #9  untanglelibuvm, untangle-libuvmcore、 untangle- 
libthirdparty 和 untangle-vm 四 个 包 , 或 者 在 src/deb/changelog 中 把 版 本 号 修改 为 更 高 的 
版 本 (高 于 svn20090924r24591)。 
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(4) 默认 内 核 与 软件 包 的 修改 。 
修改 的 目标 文件 为 /mnt/image/ simple-cdd 目录 中 的 default. preseed 和 expert. 


preseed 文件 ,做 以 下 修改 : 


base- installer base- installer/kemel/image string linux- untangle 


修改 为 


base- installer base- installer/kemel/image string linux- image- 2.6.26- 1- ХХХ- 686 


以 及 


d- i pkgsel/include string untangle- gateway 


修改 为 ( 即 包含 所 有 additional 中 的 包 ) 


d- i pkgsel/include string untangle- gateway libsys- hostname- long- perl 

libnetpbm10 libmicrohttpd4 openvpn- blacklist untangle- buildutil libdigest- shal- perl 
iceweasel- 110n- zh- cn libdjvulibre21 libnet- ident- perl libgraphviz4 lha netpbm unrar 
libsocket6 - perl libnetaddr- ip- perl libjasperl liburi- perl libpkcsll - helperl 
libmailtools- perl libhtml- tree- perl liberror- perl openvpn re2c giflib- tools libwww- 
perl untangle- spamassassin- update libilmbase6 libpcre3 libgd2- xpm djvulibre- desktop 
spamassassin arj gocr gcc untangle- fuzzyocr zoo libpcrecppO libnet- dns- perl libclamav5 
libnet- ip- perl libjson0 razor libmail- spf- perl libhtml- tagset- perl gcc- 4.3 
libdigest- hmac- perl untangle- webfilter- init transfig libopenexr6 libjpeg- progs gawk 
libungif- bin libfont- afm- perl liblzo2 - 2 libimage- exiftool- perl libwmf0.2- 7 
libimage- exif- perl libhtml- format- perl imagemagick libmagickl0 gsfonts libstring- 
approx- perl libhtml- parser- perlXXx- 

node- reporting untangle- node- router XXX- base- spam XXX- node- ips XXX- node- clam XXX 
- node- shield XXX- node- spamassassin XXX- base- virus XXX- node- firewall XXX- 

base- webfilter XXX- node- openvpn XXX- node- collaborator XXX- node- phish XXX- node- 
webfilter XXX- node- sniffer XXX- node- adblocker XXX- node- protofilter XXX- node- 
Spyware XXX- fontuntangle- libuvmcore untangle- casing- mail untangle- vm untangle- 
libuvm untangle- casing- http untangle- casing- ftp untangle- libuvmthirdparty untangle- 
buildutil untangle- snort- rules untangle- bootsplash untangle- shield untangle- restore 
- tools untangle- hardware- config clamav- freshclam untangle- 

apache2- config untangle- net- alpaca untangle- net- alpaca- iptables untangle- kiosk 


clamav- base untangle- clamav- config clamav clamav- daemon 


(5) 更 新 光盘 源 的 Release 和 Packages X ff. 
创建 文件 /mnt/config-deb 内 容 如 下 : 


Dir { 
ArchiveDir "image"; 
OverrideDir "indices"; 
CacheDir "indices"; 

Ye 

TreeDefault { 
Directory "pool/"; 

228 + 


te 
BinDirectory "pool/main" { 
Packages "dists/lenny/main/binary- 138 6 /Packages"; 
BinOverride "override"; 
ExtraOverride "override. extra"; 
i 
Default ( 
Packages ( 
Extensions ".deb"; 
he 
he 


创建 文件 config-udeb. AA 4 F : 


Dir { 
ArchiveDir "image"; 
OverrideDir "indices"; 
CacheDir "indices"; 
Vi 
TreeDefault { 
Directory "pool/"; 
ү; 
BinDirectory "pool/main" { 
Packages "dists/lenny/main/debian- installer/binary- 138 6 /Packages"; 
BinOverride "override"; 
ExtraOverride "override. extra"; 
}; 
Default { 
Packages { 
Extensions " . идер"; 
he 
he 


创建 文件 config-rel, 内 容 如 下 : 


APT: : FTPArchive: : Release: : Codename "lenny"; 


Release: : Origin "Debian"; 


elease: : Components "main"; 
Release: : Label "Debian"; 


APT: : FTPArchive: : Release: : Architectures "i386"; 


APT: : FTPArchive: : Release: : Suite "Stable"; 


| & X fF /mnt/indices/override M /mnt/indices/override. extra. 42s Вр п], Jf 
本 如 下 : 
touch/mnt/indices/override 


touch/mnt/indices/override. extra 
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更 新 Release 和 Package. MAU F : 


apt- ftparchive generate config- udeb 
apt- ftparchive generate config- deb 
apt- ftparchive - c config- rel release image/dists/lenny/» | image/dists/ 


lenny/Release 
(6) 更 新 md5 值 , 脚 本 如 下 : 


cd image 

rm md5 sum. txt 

md5 sum ' find ! — name "md5 sum. txt" !- path". /isolinux/* " - follow - type f' > | md5sum. 
txt 


(7) 创建 新 的 iso 文件 ,脚本 如 下 : 


mkisofs - o new. iso - r - b isolinux/isolinux. ріп - c isolinux/boot. cat - no- emul- boot 
- boot- load- size 4 - boot- info- table /mnt/image 


注意 : 可 能 需要 事先 安装 mkisofs 89 KH 65. PP apt-get install mkisofs 具体 可 参考 
debian wiki 的 内 容 。 


23.3 Untangle 安装 启动 背景 定制 


为 了 增加 界面 友好 性 ,可 以 定制 特有 的 风格 背景 。 
1, Boot Screen 修改 
安装 时 出 现 选 择 框 和 背景 图 片 ,修改 。 


/isolinux/isolinux. cfg 


default vesamenu. c32 


prompt 0 
timeout 0 


MENU TITLE THU- NSLAB installer 
MENU BACKGROUND /images/Untangle. png 


label gui 
menu label “Graphical install (normal mode) 
kernel /install.386/vmlinuz 
append  preseed/file- /cdrom/simple- cdd/default.preseed 
video- vesa: умгар, mtrr vga- 788 initrd- /install.386/gtk/initrd.gz - - quiet 


label gui- expert 
menu label ^Graphical install (expert mode) 
kernel /install.386/vmlinuz 
append  preseed/file- /cdrom/simple- cdd/expert.preseed 
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video= vesa: умгар, mtrr vga= 788 initrd- /install. 386 /gtk/initrd. gz - - quiet 


label text 
menu label *Text install (normal mode) 
kernel /install. 386 /vmlinuz 
append  preseed/file- /cdrom/simple- cdd/default.preseed 
video- vesa: умгар, mtrr vga- 788 initrd- /install.386/initrd.gz - - quiet 
label text- expert 
menu label ^Text install (expert mode) 
kernel /install. 386 /vmlinuz 
append  preseed/file- /cdrom/simple- cdd/expert.preseed 
video- vesa: ywrap, ntrr vga- 788 initrd- /install.386/initrd.gz - - quiet 


修改 光盘 标志 图 片 ,替换 为 
/adran.ico 


2. Grub 选单 背景 

将 Untangle 中 splashimage = ( hd0 , 0) /boot/grub/utsplash. xpm. gz(/ 
boot/grub/menu. Ist) 中 这 一 行 注释 或 删除 ,或 者 用 新 图 片 制作 一 个 xpm 文件 并 压缩 ， 
替换 以 下 文件 /boot/grubyutsplash. xpm. gz, 

3. Untangle 启动 进度 条 前 闪现 的 背景 

将 /boot/initrd. img-2. 6. 26-1-untangle-686 解压 并 替换 其 目录 usr/share/splash/ 
theme/untangle/ 下 的 三 个 png 片 , 再 重新 压制 为 initrd. img. 操作 方 法 见 initrd/ 
newinitrd. sh ,而 initrd. img-2. 6. 26-1-XXX-686 是 一 个 已 修改 好 的 img 文件。 


23.4 Untangle 安全 组 件 ICON 图 标 


重新 设计 各 种 安全 组 件 的 ICON 图 标 ,形成 自 有 风味 。 

(1) 选择 一 张 PNG 格式 的 图 片 ,Untangle 里 用 的 是 42X42 的 ,如 文件 1. png. 

(2) 在 Linux 系统 中 运行 cat 1. png| base64>1. tmp, 把 1. png 的 字 节 流转 成 ASCI d 
示 的 形式 ,存在 1.tmp 中 。 

(3) 把 1. tmp 的 文本 替换 src/debian/control 中 对 应 debian 包 的 XB-Desc-Icon 属性 。 

(4) 在 Untangle 系统 中 重新 编译 Debian 包 并 安装 (export SRC_HOME=. ;debuild - 


us -uc -d) 。 
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附录 A Untangle Upstream Projects 


JL http: //wiki, untangle. com/index. php/Upstream_Projects. 


表 A-1 项 目 名 称 及 信息 


чы» 是 否 可 | 是 否 可 
项 目 名 称 许可 证 用 Ж 网 Шш 
链接 | 修改 
Linux Kernel | GPL Yes | Server http://kernel. org 
š GPL/ š 
Debian Sarge LGPL Server http: //debian. org 
Knoppix GPL Server http://www. knoppix. net/ 
Iptables GPL Yes | Server http: //пе ег. org 
://linux-diag. 5 forge. 
Libsysfs LGPL Yes UVM http /f linux diag. sourceforge. net/ 
Sysfsutils. html 
Hibernate LGPL UVM http: //hibernate. org 
Postgres BSD UVM http: //postgresql. org 
LGPL Reports. A " 
Itext or MPL Yes GUI http://www. lowagie. com/iText/ 
kana Logd: || Apache Yes UVM http: //logging. apache. org/log4j/ 
docs/ 
Jakarta тале Yes UVM http: //jakarta. apache. org/tomcat/in- 
Tomcat dex. html 
Java А 
‘Activation Anche Yes UVM http: / /java. sun, com/produets/ 
javabeans/glasgow/jaf. html 
Framework 
R s. 
Jfreechart LGPL Yes кеш http://www. jfree. org/jfreechart/ 
http: //java. sun. ducts 
Tamai Sun Yes UVM | ttp //java sun. com/ products/ 
javamail/ 
Libxml2 MIT Yes UVM http; //xmlsoft. org/ 
http: //java. sun. ducts 
invada | бн Yes UVM ttp: / јаха, sun. com/ products/ 
javawebstart/ 
Jasper LGPL Yes Reports http: //jasperreports. sourceforge. net/ 
Reports 
Kunststoff LGPL Yes GUI http://www. incors. org/archive/ 
Netbeans Sun Public Yes GUI http://www. netbeans. org/ 
PostgresjDBC | BSD Yes UVM http: / /jdbc. postgresql. org/ 
Gnu trove Lgpl Yes UVM http: //trove4j. sourceforge. net/ 
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š 是 否 可 | 是 否 可 
项 目 可 证 | 用 ж 网 址 
名 称 许 链接 | 修改 途 
Apache ant apache Yes Build http://ant. apache. org/ 
Java JRE 1.5 | Sun UVM/GUI http://sun. com/java 
I7-Filter GPL р) һир: //17-filter, sourceforge. net/ 
Control 
Clamav GPL Virus Blocker | http://www. clamav. net/ 
Spamassassin | Apache Spam Blocker | http: //spamassassin. apache. org/ 
Spyware Feel Free to http://www. geocities. com/ 
E iir: Spyware š k 4 
Cookie List Spread spywarekilla/autoinstaller. zip 
Spyware Public http://www. geocities. com/ 
А А Spyware ç 
IP List Domain yosponge/blockips. txt 
Velocity Apache Mail-casing http: //jakarta. apache. org/velocity/ 
http: //xdoclet. s forge. 
жей Gas Bulla ttp //x loclet. sourceforge. net/ 
xdoclet/index. html 
Mozilla š : 
АЈАХТК Public Not Used Yet http://www. zimbra. com/communi 
. ty/ajaxtk download. html 
License 
Mozilla А 
Beel Public Not Used Yet http: //jakarta, apache. org/bcel/man- 
N ual. html 
License 
C3p0 LGPL Yes UVM http; //sourceforge. net/projects/c3p0 
Re 
Jcifs LGPL Yes ae http: //jcifs. samba. org/ 
Access Portal 
OpenVPN GPL Openvpn http; //openvpn. net/ 
Oracle/ http://www. oracle. com/database/ 
Berkeley DB Yes Web Fil 
OMEN Sleepycat = сме berkeley-db/index. html 
Kaspersky K k 
aspers| 
kaspersky OEM . г y http: //kaspersky. com/ 
Virus Blocker 
(Pay) 
онаи Web Filter | http; //urlblacklist. com/ 
сот . com( pay) 
Spring MVC Apache Not Used Yet | http://www. springframework. net 
Ext JS LGPL Not Used Yet | http: //extjs. com 
Artistic/ 1 
SARE Rules E Spam Blocker | http://www. rulesemporium. com/ 
Gpl Dual 
PANE I аып Phish Blocker http: үк sanesecurity. com/ 
Security Sigs | Domain clamav/index. htm 
Rub N k 
Ruby Е : E š http://www. ruby-lang. org 
License Configuration 
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是 否 可 | 是 否 可 
项 目 名 称 许可 证 用 ж 网 址 
链接 | 修改 
N k 
Ruby on Rails | MIT ipd : http://www. rubyonrails. org/ 
Configuration 
Rub N k 
Mongrel Ж И à unda > http://www. rubyonrails. org/ 
License Configuration 
libnfnetlink Br TAR üv http: WWW netfilter. org/projects/ 
libnfnetlink/index. html 
libnetfilter GHI: c буй http: bd netfilter. org/projects/ 
_queue libnetfilter_queue/index. html 
libnetfilter- GPL Yes Yes | UVM http: WWW: netfilter, org/projects/ 
conntrack libnetfilter_conntrack/index. html 
bli 
sqlite ce be No No UVM http://www. sqlite. org/ 
Domain 


K A-1 中 出 现 的 个 别 词组 含义 如 下 。 


GPL: General Public License.GNU 通用 公共 授权 。 


LGPL: GNU Lesser General Public License,GNU 宽 通用 公共 许可 证 。 
BSD: Berkeley Software Distribution ,伯克利 软件 套件 。 
MPL: The Mozilla Public License, Netscape 的 Mozilla 小 组 为 其 开源 软件 项 目 设计 


的 软件 许可 证 。 
Apache: JERAI WHR Apache 采用 的 开源 协议 。 


Sun; Sun 公司 是 IT 及 互联 网 技术 服务 公司 (已 被 甲骨 文公 司 收 购 ) 。 
MIT: 源 自 麻 省 理工 学 院 (Massachusetts Institute of Technology ，MIT) ,又 称 *X 条 款 ”(X 
License) 或 “X11 条 款 ”(X11 License), 
Feel Free to Spread; ВЕН ЛЕ 
Public Domain; 公有 和 领域。 对 于 领域 内 的 知识 财产 ,任何 个 人 或 团体 都 不 具 所 有 权益 。 
许可 证 , 即 MPL. 
Oracle/SleepyCat: Oracle 公司 与 其 收购 的 开源 能 入 式 数 据 库 公 司 Sleepycat ЖЕ 


Mozilla Public License: Mozilla 


许可 。 


IN dE 
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Kaspersky ОЕМ (рау): 卡巴 斯 基 实 验 室 许可 证 。 
Urlblacklist. com (pay): URL 黑 名 单 版 权 许可 。 
Artistic /GPL dual: 原始 艺术 许可 证 与 GPL 兼容 许可 。 
Ruby License: 红宝石 版 权 许可 。 
Server: 服务 器 。 
UVM: Universal Verification Methodology, 通 用 验证 方法 学 。 
Reports: 报告 。 
GUI: Graphical User Interface, 图 形 用 户 界 面 。 
Build: Apache Ant 是 一 个 将 软件 编译 测试、 部署 等 步骤 联系 在 一 起 加 以 自动 化 的 一 
个 工具 ,默认 情况 下 , 它 的 buildfile XML 文件 ) 名 为 build. xml. 
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Protocol Control; 协议 控制 。 

Virus Blocker: 病毒 防护 。 

Spam Blocker: 垃圾 邮件 防护 。 

Spyware: 间谍 软件 。 

Mail-casing: 邮件 保护 壳 。 

Not Used Yet: 未 被 使 用 。 

Remote Access Portal: 远程 访问 门户 。 
Openvpn: 用 于 创建 虚拟 专用 网 络 加 密 通道 。 


Kaspersky Virus Blocker: 卡巴 斯 基 病 毒 防护 。 


Web Filter: 网 站 过 滤 。 

Phish Blocker: 钓鱼 防护 。 

Network Configuration: 网 络 配置 。 
HTTPS Inspector: 安全 HTTPS 解剖 器 。 


附录 B Untangle Java Open Source Collections 


1. Apache Tomcat 

Apache Tomcat 是 一 个 开源 的 Java Servlet 和 JavaServer Pages 软件 ,在 Java 
Community Process 这 个 组 织 的 领导 下 实施 开发 工作 。 

Apache Tomcat 的 网 址 见 http://tomcat. apache. org/ 。 

Tomcat 的 主要 文件 如 下 : 


\src\uvm- lib V libNtancat- ajp. jar 

NsrcNuvm Lib\1lib\ tancat- coyote. jar 

\src\uvm- 1ib\1ib\ tomcat http.jar 

\src\uvm- 1ib\1ib\tamcat- util. jar 

2. Hibernate 

Hibernate 是 一 个 强大 的 、 针 对 高 性 能 对 象 /关系 持久 性 和 查询 的 服务 。Hibernate fù 
许 人 们 依据 面向 对 象 的 惯用 语法 开发 持久 化 类 ,包括 关联 .继承 .多 态 .组 合集 合 。 
Hibernate 允许 人 们 在 其 自身 的 便携 式 SQL 扩展 (HQL) 来 进行 查询 ,同时 也 支持 本 地 的 
SQL, 或 一 个 具有 面向 对 象 的 标准 和 API 的 实例 。 

Hibernate 的 网 址 见 https://www. hibernate. org/。 

Hibernate 的 主要 文件 如 下 : 


NsrcNuvm lib\lib\hibemate- 3.2.4.spl.tar.gz 
NsrcNuvm lib\lib\hibemate- annotations- 3.3.0.GA.tar.gz 
\src\uvm- lib\lib\hibemate- client.jar 


3. Apache commons 

Apache commons 是 一 个 Apache 项 目 , 其 关注 各 方面 可 重用 的 Java 组 件 。 
Apache commons 的 网 址 见 http://commons. apache. org/。 

Commons 的 主要 文件 如 下 : 


\src\iwm- 1ibNlibXccmmons- beanutils- 1.7.0.tar.gz 
\src\iwm- Lib\Lib\cammons- codec- 1.3.tar.gz 
\sre\uvm- lib\1ib\camons- digester- 1.7.tar.gz 
\src\uvm- Lib\1ib\commons- fileupload- 1.1.tar.gz 
\sre\uvm- lib\1ib\cammons- httpclient- 3.0.tar.gz 
\src\uvm- lib\lib\camons- io- 1.1.tar.gz 


4. Apache 日 志 记录 服务 
Apache 日 志 记录 服务 项 目 创建 和 维护 与 开源 软件 相关 的 应 用 程序 记录 ,并 免费 向 公众 
发 布 。Apache 日 志 记 录 服 务 项 目的 产品 包括 三 个 日 志 框架 : 与 Java 相关 的 log4j ,与 C++ 
相关 的 Log4cxx, 与 微软 . NET 框架 相关 的 log4net 以 及 日 志 查看 和 分 析 工 具 Chainsaw. 
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Apache 日 志 记录 网 址 见 http: //logging. apache. org/。 
Apache 日 志 记 录 服 务 的 主要 文件 如 下 : 


NsrcNuvm lib\lib\ logging- log4j- 1.2.14.tar.gz 


5. Apache Byte Code Engineering Library 

Byte Code Engineering Library 是 为 了 方便 用 户 去 分 析 、 建 立 和 操纵 (二 进 制 化 )Java 
的 类 文件 ( 即 那些 以 . class 为 后 级 名 的 文件 ) 。 

其 网 址 见 http: //jakarta. apache. org/bcel/index. html. 

其 主要 文件 如 下 : 


\src\uvm- Lib\ Lib\boel- M.N.P.tar.gz 


6. JFreeChart 

JFreeChart J&— 4 fe ## 9 (LGPL) Java(tm) FAA RE. 

其 网 址 见 http://www. jfree. org/. 

其 主要 文件 如 下 : 

NsrcNuvm Lib\1lib\jfreechart- M.N.P.tar.gz 

\src\downloads\ jfreechart- M.N.P. jar 

7. c3p0 

c3p0 是 一 个 易于 使 用 的 库 , 其 通过 JDBC з 规范 定义 的 功能 和 JDBC 2 可 选 的 扩展 来 增 
强 自身 ,以 使 传统 的 JDBC 驱动 能 够 达到 “企业 级 ”。 

其 网 址 见 http://www. mchange. com/projects/c3p0/index. html # contents. 

其 主要 文件 如 下 : 

NsrcNuvm- lib\lib\c3p0- 0.9.0.4.jar 

\sre\downloads\c3p0- 0.9.0.4.bin. tar.gz 

8. iText 

iText 是 一 个 库 , 它 允许 人 们 实时 地 生成 PDF 文件 。 

其 网 址 见 http://itextpdf. com/。 

其 主要 文件 如 下 : 

\src\downloads\ itext- 1.3.jar 

\src\uvm- lib\lib\itext- 1.3.jar 

9. Jabsorb 

Java 到 JavaScript 对 象 请 求 代理 。 

其 网 址 见 http: //jabsorb. org/。 

其 主要 文件 如 下 : 


NsrcNuvm Lib\Lib\ jabsorb- 1.2.2.jar 
\src\downloads\ jabsorb- 1.2.2- src.zip 
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10. JAF 
随 着 JavaBeans Activation Framework(JAF) 标 准 的 扩展 .使 用 Java 技术 的 开发 人 员 可 


以 利用 标准 服务 确定 一 个 任意 类 型 的 数据 块 , 封 装 访问 ,发 现 可 用 的 操作 ,并 以 适当 的 对 象 
实例 执行 操作 。 例 如 ,如 果 浏 览 器 取得 一 个 JPEG 图 像 , 则 此 框架 将 令 浏 览 器 对 该 数据 流 识 
别 为 JPEG 图 像 , 从 该 类 型 出 发 ,浏览 器 可 以 定位 和 实例 化 一 个 可 以 操纵 或 可 查看 该 图 像 的 
对 象 。 


其 网 址 见 http://java. sun. com/javase/technologies/desktop/javabeans/jaf/down- 


loads/index. html = download, 


其 主要 文件 如 下 : 
\src\uvm- lib\lib\actication.jar 
\src\downloads\ jaf- 1.0.2.tar.bz2 


11. JavaMail API 
JavaMail API 提供 了 一 个 独立 平台 和 独立 协议 的 框架 来 建立 邮件 和 消息 的 应 用 。 
其 网 址 见 http://kenai. com/projects/javamail 和 http://java. sun. com/products/ 


javamail/ 。 


其 主要 文件 如 下 : 

\src\downloads\ javamail- 1 3 3 Ol.zip* 

\src\uvm- lib\lib\mail .jar 

\src\uvm- lib\1ib\mailapi .jar 

12. Berkeley DB Java Edition 

其 网 址 见 http://www. oracle. com/technology/documentation/berkeley-db/je/ 


installation, html £ installJE。 


其 主要 文件 如 下 : 


\src\downloads\ je- 3.2.74.tar.gz 

NsrcNuvm Lib\lib\ je- 3.2.74. jar 

13. PostgreSQL JDBC driver 

PostgreSQL JDBC driver 允许 Java 程序 使 用 标准 的 、 独 立 于 数据 库 的 Java 代码 连接 到 


PostgreSQL 数据 库 。 它 是 一 个 纯 Java IV 型 ) 的 执行 。 


其 网 址 见 http: ://jdbc. postgresql. org/index. html, 

其 主要 文件 如 下 : 

NsrcN\downloadsNpostgres- jdoc- 7.4 215.tar.bz2 

NsrcNuvm Lib\Lib\ pg74.215.5doc3.jar 

14. JCIFS 

JCIFS 是 一 个 100% 使 用 Java 开发 的 开源 客户 端 库 ,其 实现 了 CIFS/ SMB 网 络 协议 。 


CIFS 是 微软 公司 Windows 平台 上 的 标准 文件 共享 协议 。 


其 网 址 见 http: //jcifs. samba. org/。 
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其 主要 文件 如 下 : 


\src\downloads\ jcifs- 1.2.9.jar 

\src\uvm- lib\lib\jcifs 1.2.9.tar.gz 

15. properJavaRDP 

properJavaRDP 是 为 Windows 终端 服务 开发 的 一 个 开源 Java RDP 客户 端 。 它 基于 
SourceForge 上 一 个 名 为 rdesktop 的 项 目 。 

ЖШ И, http://properjavardp. sourceforge. net/。 

其 主要 文件 如 下 : 


NsrcNuvm Lib\1ib\properJavaRDP- 1.1.jar 


16. Kunststoff 

Kunststoff 是 为 Java Swing 应 用 程序 开发 的 一 个 完全 免费 的 Look ë. Feel( 软 件 开 发 
术语 : 观感 )。 它 支持 许多 微 件 (如 JInnerFrame、JProgressBar 45) 。 

其 主要 文件 如 下 : 


\src\uvm- Lib\1lib\kunststoff- 2 0 1.tar.bz2 


17. AjaxTK JavaScript development library 
其 主要 文件 如 下 : 


\src\uvm- lib\ lib\AjaxTK- 3.1.1 GA 394- src.tar.gz 

18. Alloy Look and Feel 

Alloy Look and Feel 是 一 个 专业 的 Java Swing 应 用 程序 观感 。 

其 主要 文件 如 下 : 

\src\uvm- lib\lib\alloyinf-1 4 4- 1.zip 

19, Simple Logging Facade for Java (SLF4J) 

The Simple Logging Facade for Java or (SLF4J) 以 一 个 简单 的 外 观 或 抽象 化 服务 于 各 
种 日 志 框架 ,如 java. util. logging.log4j 和 logback, 并 允许 一 个 使 用 该 产品 的 用 户 在 部 署 时 
可 以 插入 所 需 的 日 志 框 架 。 

其 网 址 见 : http://www. slf4j. org/ 。 

其 主要 文件 如 下 : 

NsrcNuvmr lib\lib\s1f4j- 1.4.3.tar.gz 

20. JSON-RPC for Python 

JSON-RPC 是 轻型 远程 过 程 调用 协议 ,类 似 于 XML-RPC, 由 Python 语言 开发 。 

其 网 址 见 : http://json-rpe. org/。 

其 主要 文件 如 下 : 

\src\uvm- lib\1ib\python- jsonrpc- r19.tar.gz 

21. Trove 

Trove library 提供 java. util 中 Collections API 的 快速 实现 。 
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其 网 址 见 ; http: //trove4j. sourceforge. пеї/ 。 
其 主要 文件 如 下 : 


\src\uvm- lib\lib\trove- 1.0.2.tar.gz 


22. Velocity 

Velocity 允许 人 们 使 用 一 个 简单 而 强大 的 模板 语言 来 引用 Java 代码 中 定义 的 对 象 。 
其 网 址 见 : http://velocity. apache. org/engine/index. html, 

其 主要 文件 如 下 : 


\sre\downloads\velocity- 1.4.tar.gz 

\src\iwm lib\ lib\velocity- 1.4.jar 

23. XDoclet 

XDoclet 使 Java 具有 面向 属性 变 成 特性 。 通 过 向 Java 源 中 添加 元 数据 (属性 ), 人 们 可 
以 使 他 们 的 代码 更 加 具有 意义 。 

其 网 址 见 : http://xdoclet. sourceforge. net/xdoclet/index. html. 

其 主要 文件 如 下 : 


\src\downloads\xdoclet- lib- 1.2.3.tar.gz 
\sre\uvm- 1ibN1ibN 


24. XML-RPC 

XML-RPC 是 一 种 远程 调用 协议 , 它 使 用 XML 来 编码 其 呼叫 并 使 用 HTTP 协议 作为 
传输 机 制 。 

其 网 址 见 ; http://www. xmlrpc. com/。 

其 主要 文件 如 下 : 

\src\downloads\aml rpc- current- bin.tar.gz 

\src\uvm- 1ibN1ibN xmlrpc- omon- 3.1.jar 

\src\uve lib\lib\ xmlrpc- client- 3.1.jar 

25. XStream 

XStream 是 一 个 简单 的 库 , 它 将 对 象 序列 化 到 XML 后 再 返回 。 

其 网 址 见 : http://xstream. codehaus. org/ 。 

其 主要 文件 如 下 : 

\згс\имт- lib\lib\xstrean- distribution- 1.3- bin.zip 

26. YUI Compressor 

YUI Compressor 是 JavaScript minifier 为 了 100% 安 全 而 设计 的 , 它 拥 有 比 其 他 大 部 
分 工具 更 高 的 压缩 率 。 

其 网 址 见 : http://developer. yahoo. com/yui/compressor/ , 

其 主要 文件 如 下 : 


\згс\имт- Lib\Lib\ yuicompressor- 2.4.2.zip 
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27. JNPL 

JNLP(Java 网 络 加 载 协议 ) 是 一 种 基于 XML 的 协议 , 它 可 以 用 来 在 互联 网 上 部 署 Java 
和 JavaFX 应 用 程序 。 

其 网 址 见 : http://java. sun. com/developer/technicalArticles/Programming/jnlp/ 。 

其 主要 文件 如 下 : 


\згс\имт- lib\lib\jnlp.jar 
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